Merge branch '5.4'

Indentation in label group availability was too large

Merge branch '5.4'

Label group availability could not be configured for deeper categories

Merge branch '5.4'

Merge pull request #4693 from WoltLab/5.5-upload-form-field-image-preview

Add preview image for image upload component

Use `width` and `height` attributes for image previews

Add preview image for image upload component

Previously, no thumbnails were displayed during the upload process if it was possible to upload multiple images. This change adds this functionality and displays the images together with the ImageViewer.

Fix PHP 8.1 compatibility in SignatureCache

> Message: preg_replace_callback(): Passing null to parameter #3 ($subject) of
> type array|string is deprecated

Update composer dependencies

Merge branch '5.4'

Add proper return types to SessionHandler::(get|check)SecurityToken()

Merge pull request #4691 from WoltLab/search-xsrf

Remove `{csrfToken}` from pageHeaderSearch

Fixed a small typo

Set the jQuery UI version to `1.99.99`

Merge pull request #4692 from WoltLab/import-mapping-reset

Move the reset of the import mapping into a dedicated JavaScript module

Move the reset of the import mapping into a dedicated JavaScript module

This removes a non-trivial amount of JavaScript and specifically:

- Fixes the use of the legacy `index.php/AJAXInvoke` syntax.
- Avoids the use of the deprecated SECURITY_TOKEN pseudo-constant.

Remove `{csrfToken}` from pageHeaderSearch

The submission of the form is intercepted by WoltLabSuite/Core/Ui/Search/Page
and then converted into a GET redirect that does not contain the `t` parameter,
making it useless.

Restoring the selection immediately discarded it

See https://www.woltlab.com/community/thread/294654-links-werden-vom-editor-aus-dem-text-direkt-nach-ganz-oben-verschoben/

Add support for `IStorableObject::getUploadFiles()` in `UploadFormField`

Add support for `IStorableObject::get{$propertyName}UploadFiles()` which is supposed to return an array of `UploadFile`s.
Using explicitly set `UploadFile` objects makes it possible to define a filename and an image link differing from the real path the uploaded file is stored at.

Closes #4582

Fix formatting in Email

Unfortunately the heredoc syntax is a bit wonky, thus requiring that lone
comma.

Dump the headers of all body parts in Email::debugDump()

Dump the email once for each recipient in Email::debugDump()

Fix HTML encoding in Email::debugDump()

Fix detection of HTML mime parts in Email::debugDump()

Merge branch '5.4'

Merge branch '5.3'

Force-bump the jQuery Ui version

Fix detection of ipv4 adresses for stopforumspam integration

Merge branch '5.4'

Surpress output of empty labeled url user option fields

Merge pull request #4687 from WoltLab/cache-name

Make CacheHandler::getCacheName() less expensive

Version the DiskCacheSource filename

see #4685

Make CacheHandler::getCacheName() less expensive

The old implementation generated cache filenames that are a little cleaner to
the human eye, but the generation was needlessly expensive, even calling the
UTF-8-safe StringUtil::firstCharToUpperCase() on an ASCII value.

It will need to be checked if the changing cache name will cause issues during
the upgrade to 5.5, as it will implicitly result in a cache clear.

Merge pull request #4686 from WoltLab/cleanup

Assorted cleanup

Remove obsolete wcfPackageListURL property from WCF.ACP.Package.Uninstallation

Remove dead code in packageList.tpl

`jsPluginContainer` does not appear anywhere else in the codebase.

Remove `packageID` parameter from PackageListPage

It's no longer used since the previous commit, badly named and also a security
issue, because it might be used with a XSRF attack.

Remove PACKAGE_ID check for WCF.ACP.Package.Uninstallation

The PACKAGE_ID will always be `1` when accessing these pages since a long time.

Remove use of deprecated `forceWCF` parameter to LinkHandler::getLink()

Add leading backslashes to function calls in generated options.inc.php

Correctly handle an empty spiderlist

see 96dced2d6197d64f30b6638f3966a8778c586cd6

Fix TypeScript formatting

see 2a6e70a4a0d94243b566a0b17582764d1370850e

Allow `fromversion="*"` in dev tools

Resolves #4659

User menu in the style editor was out of sync

Ensure WoltLab Suite's autoloader runs first

While we already configured composer's autoloader with:

    "prepend-autoloader": false,

in composer.json, the laminas-zendframework-bridge registers an autoloader by
itself and prepends it.

This autoloader will not match anything more often than not and certainly
nothing that can be loaded by WoltLab Suite's autoloader, thus needlessly
burning CPU cycles.

Fix this by:

1. Explicitly prepending WoltLab Suite's autoloader in the call to
   `spl_register_autoload()`.
2. Loading composer's autoloader (and by extension the autoloader of the
   bridge) before loading core.functions.php which will load WoltLab Suite's
   autoloader.

Updating minified JavaScript files

Skip the spiderID for ACP requests

The legacy session might not exist for guests that did not access the frontend first.

Merge branch '5.4'

Improved the prompt for desktop notifications

See https://www.woltlab.com/community/thread/294700-erlaubnis-f%C3%BCr-benachrichtungen-nicht-ohne-explizite-nutzer-interaktion-anfragen/

Merge pull request #4682 from WoltLab/systemcheck-php

Update PHP versions in SystemCheckPage

Improve phrasing of deprecation message for old PHP versions

Co-authored-by: Alexander Ebert <ebert@woltlab.com>

Merge pull request #4683 from WoltLab/spiderId-lookup

Improve performance of SessionHandler::getSpiderID()

Improve performance of SessionHandler::getSpiderID()

99f28057e7aeb29ed6728917174fd8fc6b7bb1a1 already optimized this to avoid the
need of calling ->getSpiderID() for logged-in users, but guest sessions still
call ->getSpiderID() on every request to look up the legacy session.

This commit massively improves the performance of ->getSpiderID() for all
cases, but especially for requests where no spider can be matched. The latter
previously required a full O(n) search across the spider list and thus was the
worst case situation. This worst case situation likely happened for the vast
majority of guest requests. But even cases where a spider can be matched will
benefit from this.

The improvements are achieved by two things:

1. The size of the cache that needs to be read and unserialized is reduced from
87k to 17k.
2. Instead of searching linearly through the list of spiders, needing to
implicitly call ->__get() twice for each, the matching is performed by an
optimized regular expression that effectively implements a prefix tree. If this
regular expression matches, then the spiderID will be efficiently looked up in
an array that is keyed by the matched string.

Numbers for 10,000 calls to ->getSpiderID() on my computer running PHP 8.1:

- Google Bot: From 0.44s down to 0.14s.
- Firefox 98: From 1.05s down to 0.07s.

Update PHP versions in SystemCheckPage

Skip the username for moderation queues

It provides little value, because the entry is all about the entry. Stripping the username cleans up the UI in the drop-down menu.

Display the username list in the user menu below

Merge pull request #4662 from WoltLab/5.5-poll-js

Rework Poll JS to TypeScript

Remove `PollAction` class

Move Poll module out of Manager dir

Apply suggestions from code review

Merge branch '5.3' into 5.4

Validate the messageObjectType in MessagePreviewAction::validateGetMessagePreview()

Merge branch '5.3' into 5.4

Validate the object type definition in CommentAction::validateObjectType()

Merge branch '5.4'

Fix success message in ApplicationManagementForm

Fixes #4679

Merge branch '5.4'

Update composer dependencies

Use static values to determine the `spiderID`

The `spiderID` can never be set for logged-in users and for guests this value is tracked in the legacy session for now.

This prevents the loading and processing of the chunky spider cache for most requests.

Skip the replacement of the negative sign for > 0

Improved the performance of the autoloader

Using `isset()` is faster than using `count()` because it is a language construct and we only need to know if the index `1` exists. The autoloader is invoked hundreds of times per request, saving us ~1ms in total.

Merge pull request #4678 from WoltLab/update-cronjob-randomize

Randomize the times of the data update cronjobs

Ignore non-HTTP schemes for URL unfurling

Derive the time of the refreshSearchRobots cronjob from refreshPackageUpdates

Randomize the times of the data update cronjobs when upgrading to 5.5

Randomize the times of the data update cronjobs

This prevents requests spikes at package servers at 2:00 UTC every other day.

With the time of the update cronjobs randomized, the package list updater will
now run daily.

Improved the detection of pasted redundant styles

Remove superfluous method description

Remove JS equivalents for removed TS files

Missing autofocus in login form

Apply suggestions from code review

Merge remote-tracking branch 'origin/master'

Merge branch '5.4'

Merge branch 'mysql-search-query-parser' into 5.4

Fix handling of queries ending in a lone quote in MysqlSearchEngine::splitIntoTerms()

Fix handling of quoted parentheses in MysqlSearchEngine::splitIntoTerms()

Fix typo in comment in MysqlSearchEngine::splitIntoTerms()

Marking all items as read did not reset the count

Outdated unread counter was not reset properly

Add `Vb5Argon2` password algorithm

see 05e1bc5e7c72ed3347fd1018d9105dcb3c398efd

Simplified the access in `User::__get()`

Called 500-1k times per request, this change reduces the time spent inside this method by about 40% on average.

Simplify the access to DBO::$data

The new code is a bit more precise and is 2-3x times faster. It is not much, but this method is called thousands of times on average requests.

Reverted the implicit expansion of blocked content

This reverts 936edda0bd3537095d1bd01e96682c40796b1b2f which implicitly expanded a message when it is being accessed through an URL anchor.

However, these URLs are also generated when accessing the last post of a thread which is merely a jump to the end.

Fixed the code style of the SCSS file

Improved the jump to the selected option

Merge branch '5.4'

Throw UserInputException for invalid className in AJAXInvokeAction/AJAXProxyAction

As the `className` is a user-provided value, we must throw a UserInputException
for proper error handling.

`word-break: break-word` now has good support

We had to use `word-break: break-all` previously because of inconsistent browser support, but that causes inline code to always break inside, even if it would be possibly to break or wrap nicely.

Use `http_build_query()` to construct the link parameters in DevtoolsProjectPipEntryListPage