Remove include of deprecated scss.inc.php in StyleCompiler

Merge branch '5.4'

Add `UnfurlUrl::$status` to `@property-read`

Closes #4561

[Tim: Rephrased the commit message]

Merge branch '5.4'

Merge pull request #4552 from WoltLab/email-header-case

Use canonical header casing in PhpEmailTransport

Use canonical header name in PhpEmailTransport

Add Email::getCanonicalHeaderName()

Update composer dependencies

Incorrect data type used in AJAX requests for search requests

The `Set` type is not understood by the browser's AJAX API and thus silently discarded.

Merge branch '5.4'

Merge branch '5.3' into 5.4

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Fix EmailNewActivationCodeForm

This got broken, because it inherits from RegisterNewActivationForm and the “is
already enabled” validation was moved into a dedicated method within there. This
is a perfect example of why one should never inherit from controllers …

see f394421c0cc7e8879007092e40e540b2fd1118c1

Fix bad merge from 5.3 to 5.4

Commit f394421c0cc7e8879007092e40e540b2fd1118c1 was incorrectly applied.

Merge pull request #4549 from WoltLab/mysql-column-explicit-nullable

Include an explicit `NULL` within a column definition unless the column is NOT NULL

Include an explicit `NULL` within a column definition unless the column is NOT NULL

This improves error detection, because MySQL will not silently make the column
`NOT NULL` if it is part of a `PRIMARY KEY`. Instead it will error out:

> SQLSTATE[42000]: Syntax error or access violation: 1171 All parts of a
> PRIMARY KEY must be NOT NULL; if you need NULL in a key, use UNIQUE instead

Merge branch '5.4'

Allow unblocking non-blockable users from within the profile

Fixes #4548

Updating minified JavaScript files

Update npm dependencies in extra/

Updating minified JavaScript files

Merge pull request #4547 from WoltLab/deprecated-iloggingawareexception

Deprecate ILoggingAwareException

Deprecate ILoggingAwareException

The `finalizeLog()` method was initially added to support
com.woltlab.wcf.elasticSearch, as it logged the full - possibly huge -
Elasticsearch response, allowing it to log the response into a separate log
file.

This came with severe usability issues, as this log file is not readily
available from the ACP.

The Elasticsearch package was completely cleaned up, relying on the regular
Guzzle exceptions, and errors during JSON decoding no longer include the full
JSON.

Letting the Exception know that they've been logged is a layering violation
that will not play along nicely with #4342. The current method signature also
is pretty much limited to logging into files only.

Deprecate the interface, now that the only known user is gone.

Fix typo in reCAPTCHA API URL

Introduced in #4293.

Remove trailing whitespace and unused imports

Handle all types of exception when validating database access during import

see #4281
see WoltLab/com.woltlab.wcf.exporter#55

Support for the embedding of private vimeo videos

Merge pull request #4546 from WoltLab/sfs-lastseen-index

Add INDEX on wcf1_blacklist_entry.lastSeen

Merge pull request #4545 from WoltLab/url-legacy-mode

Remove the `url_legacy_mode` option

Update composer dependencies

Add INDEX on wcf1_blacklist_entry.lastSeen

Resolves #4210

Fix typo in filename of update script

Remove the `url_legacy_mode` option

Resolves #4544

Added CSS to highlight unread content in sidebar

Update composer dependencies

Merge pull request #4541 from WoltLab/5.5-notification-confirm-link

Replace empty redirect responses in notifications with link to notifi…

Replace empty redirect responses in notifications with link to notification list

The notification link can be `null` (e.g. for some moderation notifications). This would trigger an exception further in the code, because the PSR7 redirect response expect a real URL. For this reason, we rewrite `null` with a link to the NotificationListPage.

Update for PHP CS Fixer 3.2.1

Merge branch '5.4'

Merge pull request #4539 from WoltLab/php-ddl-reject-duplicate-index-column

Reject indices with duplicate columns in DatabaseTableChangeProcessor

Merge pull request #4540 from WoltLab/5.4-image-proxy-exception

Correctly wrap \RuntimeException from body reading in \DomainExceptio…

Correctly wrap \RuntimeException from body reading in \DomainException in ImageProxyAction

Reject indices with duplicate columns in DatabaseTableChangeProcessor

Resolves #4536

Merge pull request #4538 from WoltLab/5.4-disable-unfurling-in-signatures

Disable unfurled urls in signatures

Disable unfurled urls in signatures

Merge branch '5.4'

Merge pull request #4535 from WoltLab/import-current-path

Reject `fileSystemPath`s matching an active app during import

Reject `fileSystemPath`s matching an active app during import

Resolves #4517

Fix check whether a non-owned FOREIGN KEY is being dropped in DatabaseTableChangeProcessor

The reproducer and fix is effectively identical to the one in
167291206e57ffb9bc043308682061e5e499ff45.

Package A: Installs FOREIGN KEY (someOtherUserID) REFERENCES wcf1_user (userID)
Package B: Installs FOREIGN KEY (userID) REFERENCES wcf1_user (userID)
Package B: Drops FOREIGN KEY (userID) REFERENCES wcf1_user (userID)

It was erroneously detected that Package B would drop the foreign key owned by
Package A, but possibly only after the foreign key has already been (correctly)
dropped. This delay in check is caused by the `continue 2;` skipping any other
foreign keys after matching up one foreign key.

The actual dropping logic was already correct, just the safety check was
incorrect.

see #4434

Deprecate `$_REQUEST['styleID']`

The implementation of the styleID request parameter is very messy, allows for XSRF attacks due to missing validation, might collide with controllers using styleID parameters for their own purpose and can easily be replaced by a plugin if necessary (e.g. for demo setups).

Merge pull request #4529 from WoltLab/5.5-save-style-id

Prevent saving `styleID` in sessions for user

Prevent saving `styleID` in sessions for user

Force blur the editor after replying with a message

See https://community.woltlab.com/thread/292195-probleme-mit-opera-mobile-unter-android/

Force blur the editor after replying with a message

See https://community.woltlab.com/thread/292195-probleme-mit-opera-mobile-unter-android/

Merge branch '5.4'

Merge pull request #4532 from WoltLab/unfurl-body-read-failure

Correctly wrap \RuntimeException from body reading in DownloadFailed in UnfurlResponse

Merge branch 'master' of https://github.com/WoltLab/WCF

Removed obsolete language variable

Correctly wrap \RuntimeException from body reading in DownloadFailed in UnfurlResponse

Merge branch '5.4'

Merge branch '5.3' into 5.4

Merge pull request #4531 from WoltLab/http-request-timeout

Configure emergency timeout in HTTPRequest

Merge branch '5.4'

Merge remote-tracking branch 'origin/5.4' into 5.4

Merge branch '5.4'

Add explicit check whether the port is numeric in Redis wrapper

This improves error messages.

Merge branch '5.3' into 5.4

Cast the Redis port to int

The `Redis::connect()` method expects the `$port` parameter to be an integer.
PHP will automatically cast numeric strings to an integer, but error out with
an TypeError if the string is not a well-formed number. This TypeError will not
be caught in an `catch(\Exception $e)` block, because TypeError does not
inherit Exception.

Perform an explicit cast to ensure the fallback to DiskCacheSource works.

Configure emergency timeout in HTTPRequest

The connect and read timeouts might not reliably trigger in all cases.
Configure a large overall timeout to ensure PHP workers will terminate
eventually.

see 2dbd5654cb9faff45bb51df9a2f3834bd320cc00

Incorrect detection of HTML tags

The previous regex was incorrect and caused false-positive matches. One such case was a `<td>The …</td>` which translated into `###td ###The …`, causing it to be recognized as a `<th>`.

The new regex is much more restrictive by requiring at least one whitespace after the tag name if there is additional content.

Merge pull request #4518 from WoltLab/notifications-for-subscribers-of-parent-objects

Notifications for subscribers of parent objects

Update fileDelete.xml

This adds files where git detected a rename and thus did not report a deletion.

Merge branch '5.4'

Fix removing reactions on guests content

Since MySQL 8 the deletion of reactions on contents created by guests might fail. The ReactionHandler tries to update the likesReceived column for a non-existent user, sending the empty string as the userID. Recent versions of MySQL 8 error out with MySQL error 1292. The following MySQL bug appears to be related:

https://bugs.mysql.com/bug.php?id=101806

Merge remote-tracking branch 'origin/master'

Merge branch '5.4'

Merge pull request #4528 from WoltLab/json-error-max-length

Truncate the maximum length of the input JSON in error message when failing to decode

Truncate the maximum length of the input JSON in error message when failing to decode

Stop this from bloating the error log in case of huge responses.

Merge pull request #4527 from WoltLab/search-index-manager-create-return

Remove return value for AbstractSearchIndexManager::createSearchIndex()

Remove return value for AbstractSearchIndexManager::createSearchIndex()

Returning this boolean value does not appear to be useful at all, as there is
no reason why the state after this method finishes should be that the INDEX
does not actually exist (except in case of an Exception). Whether or not it
previously existed is irrelevant.

In fact this method is `protected` and the return value is not used at all,
thus it is safe to remove this requirement.

Merge pull request #4514 from WoltLab/recommend-x64

Recommend 64-bit PHP during WCFSetup

Merge pull request #4526 from WoltLab/session-cookie-lifetime

Decrease the session cookie lifetime leeway to 1 week

Simplify the 64-bit check in WCFSetup

Decrease the session cookie lifetime leeway to 1 week

With the increase of the user session lifetime to 2 months, simply multiplying
by two results in an excessive cookie lifetime.

Decrease this to a constant leeway of 1 week. If the cookie in the browser
expires, the session on the server should be long gone, even for wildly
incorrect local clocks.

Merge pull request #4525 from WoltLab/session-device-icon

Move Session::getDeviceIcon() into UserAgent::getDeviceIcon()

Move Session::getDeviceIcon() into UserAgent::getDeviceIcon()

This method does not really belong into the Session class.

Transmit XSRF-Token in body in User/Session/Delete.ts

Sensitive information should not be transmitted within the URI.

Merge pull request #4523 from WoltLab/xsrf-token-javascript

Add TypeScript function to retrieve the XSRF-TOKEN

Merge branch '5.4'

Validate the XSRF-Token in DeleteSessionAction

This is not necessarily required, because the `sessionID` already contains high
entropy. However the JavaScript code already provides the XSRF-Token, so let's
validate it for completeness.

Do not import getXsrfToken() as a standalone function

Remove use of SID_ARG_2ND constant in acpSessionLog

This was effectively dead code, because `->hasProtectedURI()` always returns
`false` since ages, as the `?page=` and `?form=` parameters are gone.

Add TypeScript function to retrieve the XSRF-TOKEN

This is intended to ease future changes, e.g. by allowing the code to always
retrieve the latest token from the cookie, instead of relying on the
effectively immutable value set at page load. In the long run this will also
allow to reduce the number of globals on the `window` object.

On the PHP side the use of the `SECURITY_TOKEN` constants have already been
deprecated in 5.4.

see #3609
see 3f6a261b1e6a3804370eb1e2a046ea6c666dbedd

Merge branch '5.4'

Remove SECURITY_TOKEN* constants from constants.php

These were effectively deprecated in 3f6a261b1e6a3804370eb1e2a046ea6c666dbedd.

Remove SID* constants from constants.php

These were removed in 8a35fd6de81f1138456fb777eb57d4b3907c0c66.

Remove INullableFormField from SourceCodeFormField

This field is not actually nullable (it does not handle `isNullable()`), I
assume this to be a copy and paste error.

Release 5.4.8

Merge branch '5.4'