Do not trust the source file hash in UserAvatarImporter

see 5969fa3dfada7df170ff10b8c4d8bf349c38cef9

Make UserAvatarImporter determine the extension based on the mime type

Resolves #4665

Check `is_readable()` in UserAvatarImporter

Merge branch '5.4'

Merge pull request #4664 from WoltLab/formbuilder-checkbox-ajax

Add `CheckedVoid` form builder data handler for CheckboxFormField

Add `CheckedVoid` form builder data handler for CheckboxFormField

The `Checked` data handler is not usable for the CheckboxFormField, because its
behavior differs from the non-AJAX behavior by always sending a value whereas
checkboxes that are not checked will not send anything within a regular form.

It was considered to simply reuse the `readValue()` implementation in
BooleanFormField, because it appears to do the right thing at a glance. However
this would effectively revert 7d36c55726af2b5b9d9ab1706a05ccf5e52e84b8 which is
a fix to allow unchecking checkboxes that are checked by default.

Also matching the behavior of AJAX and non-AJAX forms 100% is considered a good
thing, so a new JavaScript module to handle this, is the best solution.

Reject YEAR(2) in PHP DDL

Length 2 for YEAR columns is not supported by MySQL 8 and not really useful for
older versions either:

https://dev.mysql.com/doc/refman/8.0/en/year.html

> MySQL 8.0 does not support the 2-digit YEAR(2) data type permitted in older
> versions of MySQL. For instructions on converting to 4-digit YEAR, see
> 2-Digit YEAR(2) Limitations and Migrating to 4-Digit YEAR, in MySQL 5.7
> Reference Manual.

Merge branch '5.4'

Merge branch '5.3' into 5.4

Ignore `length` when diffing YearDatabaseTableColumn

Similarly to INT columns MySQL 8 ignores the length of YEAR columns:

https://dev.mysql.com/doc/refman/8.0/en/year.html

> As of MySQL 8.0.19, the YEAR(4) data type with an explicit display width is
> deprecated and you should expect support for it to be removed in a future
> version of MySQL. Instead, use YEAR without a display width, which has the
> same meaning.

Show direct link to media file in admin panel

Closes #4663

Merge branch '5.4'

Fix template syntax error in wcf.user.notification.articleComment.response(Owner)?.mail.html

see cc5632977059ae88aa5cfe1c27407f0e00fa68c1

Use more specific return type in PHP DDL column factories

see b0d267facda16a3fcefdef5c2c2740c4cd790b63

Whitelist `array_key_exists` in enterprise mode

Merge pull request #4661 from WoltLab/55-package-update-shortest-thread

Graceful handling of incoherent update paths

Incorrect error type for rejected credentials

Silently discard incoherent update paths if a valid path remains to be checked

Moved the exceptions inside the shortest update path calculation into separate classes

Consistent box-shadow for elevated elements

Permission 'canOnlyAccessOwnMedia' did not work as expected

It was still possible to find files from other users through the search function.

File size was displayed twice when uploading media

Missing z-index for the scrollbar in user menu items

Fixes #4660

User menu items now support the display of usernames

See WoltLab/com.woltlab.wcf.conversation#169

Adjusted the code style

Improved the styling of the user menus

Reverted removed suppression of encoding and template scripting support

Previous change caused some broken page titles (e.g. within the dev tools).

Fix update instructions from 5.4

Fix call to `\str_ends_with()` in PackageUpdateServerAddForm

Skip close requests originating from the search drop-down itself

The mobile search behavior conflicted with the desktop view

Merge pull request #4658 from WoltLab/dynamic-phrases-templates

Overhauled handling of dynamic phrases in templates

Incorrect behavior of user menus with overflowing content

Removed suppression of encoding in places where it was not necessary

Merge branch '5.4'

Email column in notification settings was too small

Overhauled handling of dynamic phrases in templates

Closes #4657

`saveInstant()` yields an incorrect selection after formatting

Consider the example `Hello World` where the word `World` is selected. Marking the selection as bold did not mark the button as active.

This was caused by the way the selection is created, causing it to be `Hello |<strong>World|</strong>` when using `saveInstant()` (the pipe denotes the selection boundary).

Include the `$envelopeTo` address within the target filename in DebugFolderEmailTransport

It was verified that the resulting Maildir still is a valid Maildir by opening
it with mutt.

Updating minified JavaScript files

Merge branch '5.4'

Merge pull request #4656 from WoltLab/dialog-alert

Fix rendering of alert boxes at the top of a dialog

Remove obsolete inline CSS in removeUserContentDialog.tpl

see 0d0aecf7b629619de450304945989074522dbca2

Fix rendering of alert boxes at the top of a dialog

Merge pull request #4655 from WoltLab/report-flood

Add flood protection to creating new reports

Add flood protection to creating new reports

Fix adding of classes updateCounter() in user menu

Merge pull request #4654 from WoltLab/5.5-poll

Standardize Poll Creation

Deprecate `WCF.Poll.Management` JS module

Use TypeScript implementation for message polls

Standardize poll input names

The old implementation uses names like `pollQuestion` instead of `Poll_question`. Unifying these, make it easier to maintain the code and use the TypeScript implementation for old and new code.

Merge branch '5.4'

Update composer dependencies

Release 5.4.13

Merge branch '5.3' into 5.4

Release 5.3.19

Merge branch '5.2' into 5.3

Release 5.2.19

Merge branch '3.1' into 5.2

Release 3.1.27

Merge branch '5.4'

Merge branch '5.3' into 5.4

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Merge branch 'unknown-bbcode-xss' into 3.1

Fix XSS vulnerability in HtmlBBCodeParser::buildBBCodeTag()

Thanks to @methosiea for responsibly reporting this issue.

Resolves #4653

Merge branch '5.4'

Fix PHP 8.1.2 compatibility in DatabaseException

> Cannot access protected property PDOException::$code

Update missed `.htaccess`

see 75cc4fdef3cd84589e0a87871ea2dc0b92c6f570

Update `.htaccess` authz rules for Apache 2.4

see https://httpd.apache.org/docs/2.4/mod/mod_access_compat.html
see https://httpd.apache.org/docs/2.4/mod/mod_authz_core.html#require

Slightly defer the menu overflow calculation to avoid an early style recalculation

Improved the behavior of the search button

Added the quick search button to the user list

Closes #3954

Merge pull request #4651 from WoltLab/attachment-link-no-thumbnail

Always link image attachments in attachments.tpl

Always link image attachments in attachments.tpl

Previously only attachments with a larger version were linked. This made it
hard to "rightclick-save" very small attachments and also suppressed them from
the image viewer, allowing users to miss them when watching the image viewer's
slideshow.

Resolves #4601

Updating minified JavaScript files

Merge branch '55-js-bundle'

Strip prism from the `tiny` bundle

Removed a faulty workaround for the module bundle

Properly remove lazy-loaded modules from the bundle

Exclude modules that only contain TypeScript types and interfaces

Deprecate the module `WoltLabSuite/Core/Ui/FlexibleMenu`

The module remains unused for years and has not been adopted by third parties.

Load additional modules on-demand

Lazy load the style changer and poll editor

Load the "pica" library on demand

Defer the overflow handling for the main menu

The previous code would inject the overflow handles immediately if the `screen-lg` environment matches. However, depending on the time it took this could have caused a forced reflow because the width of the menu was considered to be stale following the injection of the elements.

Skip the template compilation step for phrases without curly braces

Stop relying on `ts-node` from the global scope

Removed a forced reflow that effectively did nothing

Merge branch '5.4'

Merge branch '5.3' into 5.4

Fix regular expression for the `atext` production in EmailGrammar

Due to the missing escaping of the hyphen with a backslash the allowed
characters were not just:

- The plus sign (`+`, 0x2B),
- the dash      (`-`, 0x2D), and
- the slash     (`/`, 0x2F).

But all ASCII characters between 0x2B and 0x2F, namely:

- The plus sign (`+`, 0x2B),
- the comma     (`,`, 0x2C),
- the dash      (`-`, 0x2D),
- the dot       (`.`, 0x2E), and
- the slash     (`/`, 0x2F).

i.e. the comma and dot in addition to the actually allowed characters.

This error caused an incorrect encoding of headers in `::encodeHeader()`.
Specifically the real name of a mailbox was affected by this issue. As a result
a real name that included a dot, but otherwise matched the `atom` grammar was
improperly encoded, possibly causing email parsing failures for MUAs.

Provide the current `url` to all login links

see 6e5b36526f992eb1f04fb4ebc28f3ae38bed6aff

Removed the no longer used API compatibility from exported packages

Requiring a minimum age for registrations now marks the fields as required

See https://www.woltlab.com/community/thread/291431-mindestalter-geburtsdatum-ist-pflichtfeld-wird-aber-nicht-so-deklariert/

Placeholder color for textareas, replaced legacy properties with `::placeholder`

See https://www.woltlab.com/community/thread/292757-unterschiedliche-placeholder-farben/

Do not replace files in `custom/` during style import

Resolves #3748

Use `str_contains()` instead of `strpos() !== false` in StyleEditor

Shorten overly long line in StyleEditor

Implemented the StoreCode (#4649)

Co-authored-by: Tim Düsterhus <duesterhus@woltlab.com>