Merge branch 'master' into session-meta

For the updated CodeSniffer.

Limit branches for templates workflow

Merge branch '5.3' into master

Merge branch '5.2' into 5.3

Limit workflows to release branches

Features branches will be tested using a PR.

Merge pull request #3622 from WoltLab/workflow-style

Add codestyle workflow

Add codestyle workflow

Add .phpcs.xml

Merge pull request #3617 from WoltLab/formbuilder-php8

Fix PHP 8 support in form builder

Use stock OpeningFunctionBraceKernighanRitchie sniff

Update CodeSniffer ruleset

Merge branch '5.3' into master

Merge branch '5.2' into 5.3

Tighten up the code style a bit

Remove `final` from `UserEditor::getPasswordHash()`

In PHP 8:

> Private methods cannot be final as they are never overridden by other classes

Merge pull request #3621 from WoltLab/workflow-templates

Add templates workflow

Merge branch 'master' into session-meta

For adjusted CI configuration.

Add templates workflow

Merge pull request #3619 from WoltLab/54-minimum-requirements

Update minimum requirements

Deprecated string offset in Net_IDNA2 (PHP 7.4)

(cherry picked from commit f1d17510cf7d5aa224ad10936ba4529990de127e)

Update to Guzzle 7.2

Update composer dependencies with updated platform

Increase minimum MySQL 8 version to 8.0.19

Limited by: Nothing really. Ubuntu Focal ships with 8.0.21 which was released
in July 2020. While there should be no good reason to not apply these bugfix
upgrades we'll give a bit of leeway and select 8.0.19 which is from January
2020 and thus one year younger than the previous 8.0.14 which is from January
2019.

Increase minimum MySQL 5 version to 5.7.31

Limited by: Ubuntu Bionic which has 5.7.31-0ubuntu0.18.04.1.

Increase minimum MariaDB version to 10.1.44

Limited by: Ubuntu Bionic which has 1:10.1.44-0ubuntu0.18.04.1.

Increase minimum PHP version to 7.2.24

Limited by: Ubuntu Bionic which has 7.2.24-0ubuntu0.18.04.7.

Merge branch '5.2' into 5.3

Merge pull request #3620 from WoltLab/php-syntax-action

Add php-syntax workflow

Pin the setup-php action to v2 instead of 2.7.0

Ignore errors in HTMLPurifier*.autoload-legacy.php

Fix PHP 8 syntax in DirectoryUtil

Remove PHP syntax check from Travis CI

Suppress "No Syntax errors detected" output

Add php-syntax problem matcher

Add php-syntax Workflow

Disabled the sticky code box header inside dialogs

Slightly reduced the horizontal padding of `<kbd>` on smaller screens

Merge pull request #3614 from WoltLab/invalidateMailForm-error

Do not ignore errors in invalidateMailForm update script

Fix PHP 8 support in form builder

> Message: Method ReflectionParameter::getClass() is deprecated

Fixes #3489

Handle ns.adobe.com/xmp/extension/ in ExifUtil

Resolves #3616

Improve readability in CsrfTokenFunctionTemplatePlugin

see #3612

Co-authored-by: Matthias Schmidt <gravatronics@live.com>

Merge branch '5.2'

Revert "Fix deprecation warnings in form builder in PHP 8"

This reverts commit 624e3dd0b234c4bab3e537173421045c7c82590c.

Fix endless loop in removeExifData when the APP1 signature does not match

Do not ignore errors in invalidateMailForm update script

Fixes #3613

Merge branch '5.2' into master

Ignore symlink creation failures in DebugFolderEmailTransport

Merge pull request #3593 from WoltLab/session-refactor

Implement the new session handling

Release 5.3.0 RC 2

Merge branch '5.2'

Fix updating action of foreign key

Close #3610

Updating minified JavaScript files

Use the overhauled notification settings in the admin panel

Fix use of the CSRF token in WCFSetup

Reduce the size of the session cookie

Send the raw bytes representing the session ID instead of the hexadecimal
encoding.

Make the signed XSRF-TOKEN value raw bytes

The signed value is already encoded as part of creating the signed string.
There is no need to convert it to a hexadecimal representation first,
unnecessarily bloating the value.

While doing so reduce the number of bytes to 16, generating a 128 bit value
which is plenty for this use case.

Move the security token storage into a signed cookie

Use new {csrfToken} tag in templates

Add CsrfTokenCompilerTemplatePlugin

Implement the (parent)?Page* values in SessionHandler::__get()

And switch the whole method to a large switch statement.

Move spiderID out of the environment array

There is no better replacement as of now.

Stop accessing the ->lastActivityTime property of the session

Use TIME_NOW instead.

Stop accessing the ->requestURI/Method properties of the session

Use UserUtil / $_SERVER instead.

Stop accessing the ->userAgent property of the session

Use UserUtil::getUserAgent() instead.

Stop accessing the ->ipAddress property of the session

Use UserUtil::getIpAddress() instead.

Deprecate the 'environment' session variables

Drop lastRequestURI and lastRequestMethod

They do not appear to be in use and neither are they documented in
property-read of the class documentation.

Sign the session cookie

Require generation of a valid signature_secret during WCFSetup

Move cookie handling into SessionHandler

Remove requestURI and requestMethod from wcf1_acp_session

Remove legacy session keepAlive from template

Two hours for guests and 14 days for users should be more than reasonable.

Manage the session timeout automatically

Make SessionHandler::keepAlive() a no-op

Fix GDPR export for sessions

Resolves #3588

Remove legacy SID_* constants

Drop sessions if the session variables became corrupted

Reset SessionHandler::variablesChanged after update

Use differing conditions for guests / users when fetching legacy sessions

Do not refresh ACP session cookies

They are scoped as session cookies and thus live until the browser is closed
which is preferable compared to a dated expiry.

Implement the new session handling

Unfortunately this can't be sanely split into multiple smaller commits, because
all the methods rely on the correct working of the other methods. A common
issue during testing was the magic SessionHandler::__get() function not
returning the proper data.

Deprecated SessionHandler::setCookieSuffix()

Add wcf1_user_session and update wcf1_acp_session

Make SessionHandler final

Extending the SessionHandler always was a bit questionable. Going forward the
only supported API for the session system is the public PHP API.

Merge branch 'master' into session-meta

Use \hash_equals in CryptoUtil::validateSignedString()

Merge pull request #3607 from WoltLab/import-user-group-option-value

Create user group option values during group import

Merge branch '5.2' into master

Fixed parameter validation of 'captionEnableHtml'

Fix handling of default headers in HttpFactory::makeClient()

If a `headers` array is given the default user agent would not be applied, even
if the `user-agent` key is not part of the `headers` that are given. This
caused Guzzle to use its default user agent.

Create user group option values during group import

Resolves #3534

Log NamedUserException to the console when running in debug mode

Closes #3541

Merge pull request #3605 from WoltLab/recommend-curl

Recommend cURL during WCFSetup

Recommend cURL during WCFSetup

Resolves #3601

Merge pull request #3604 from ChristopherWalz/master

Add DatabaseObjectList::setConditionBuilder

Add DatabaseObjectList::setConditionBuilder

Merge branch '5.2'

Added link to new manual

Merge branch '5.2'

Suppress the edit button for boxes on touch devices

The first tap on the box will trigger the hover, preventing any other elements, such as links, from responding.