Merge branch '3.1' into 5.2

Merge pull request #3500 from Krymonota/patch-12

Add missing phrases to English 3rd party register language items

Fix resizing images in Safari
Fixes #3506

Merge branch '3.1' into 5.2

Prevent username overflow in the message sidebar

Merge branch '3.1' into 5.2

Prevent changes to the showOrder setting of system boxes during an update

Merge branch '3.1' into 5.2

Prevent changes to the visibility settings of system boxes during an update/upgrade

Merge pull request #3502 from Krymonota/timing-safe-comparison-social-login

Use timing safe comparison to validate `state` parameter for social login

Fix type of `options` parameter in HTTPRequest PHPDoc (#3504)

Use timing safe comparison to validate `state` parameter for social login

The Twitter social login is left out because the implementation still uses OAuth 1.0, which does not support the `state` parameter.

Closes #3501

Add missing phrases to English 3rd party register language items

Merge pull request #3499 from WoltLab/5.2-like-rebuild-data-fix

Fix calculation the cached reactions

Use proper placeholders for fetching the reactions

Fix calculation the cached reactions

Merge pull request #3498 from WoltLab/dbo-action-php-8

Fix bogus call to `call_user_func_array` in AbstractDBOAction::validateAction()

Fix bogus call to `call_user_func_array` in AbstractDBOAction::validateAction()

Fixes #3490

Remove superfluous `array_unique` call
No double value can occur in the array. When deleting, we already check if the object still exists in our file array and delete it only if it really still exists.

Fix return value of sort callback in TemplateListPage

Found using PHP 8's new warning:

> Message: uasort(): Returning bool from comparison function is deprecated,
> return an integer less than, equal to, or greater than zero

Fix PHP 8 compatibility for WCFSetup's error handler

see 0267fa9af7e18aa6449726f748e672cdac192d12

Added missing informal variant

Merge pull request #3466 from Sir-Will/patch-1

Fixes exception when not using primary PayPal email

Merge branch '3.1' into 5.2

Fix PHP 5.5 compatibility

see b044815dd9b6509fc44219684d7076cd28a80aa6
see #3480

Verify if business argument is set in PayPal callback

Fix handling of hidden form field values via AJAX

See #3053

Merge branch '3.1' into 5.2

Merge pull request #3462 from SoftCreatR/patch-14

Add detection for Chromium based Edge browser

Merge pull request #3471 from WoltLab/disable-spider-visit-tracking

Disable visit tracking for search engines

Merge branch '3.1' into 5.2

Do not decrement wcf1_user.articles when deleting unpublished articles

see b044815dd9b6509fc44219684d7076cd28a80aa6
see #3480

Merge branch '3.1' into 5.2

Update wcf1_user.articles when deleting articles

Fixes #3480

Added detection for Chromium based Edge browser

Add note, that the page.xml PIP instruction is needed with the next update
See #3474

Merge branch '3.1'

Fix updating `requireObjectID` for existing pages

The `data-user-id` is already set by the ReactionHandler

Fixes #3463

Prevent writes to the session rather than reads

Disable visit tracking for search engines

Revert "Whitelist `unserialize()` when running in enterprise mode"

`unserialize()` is unsafe, because it potentially allows for arbitrary
code execution.

This reverts commit 564ba8525e42c9d4677ee1ddac58c4c9c67fc113.

Include PayPal business email in exception

Fixes exception when not using primary PayPal email

PayPal allows adding multiple emails, if you are using one of the alternative emails instead of the primary email then WoltLab will throw the exception.
The `receiver_email` is always the primary email while `business` is the secondary in the IPN.

Clear language cache when clearing cronjob cache

Close #3465

Invalid suffix value caused an error when rendering the form

Approved `uniqid` for the use when running in enterprise mode

Merge branch '3.1' into 5.2

Moved the remark on the cleanup script

Merge pull request #3450 from WoltLab/cms-embedded-object-remove

Removed embedded object references when deleting articles / pages

Add update_com.woltlab.wcf_embeddedObjectOrphans.php

Add note about deletion of orphaned embedded objects

see #3429

Remove embedded object references when deleting pages

see #3429

Remove embedded object references when deleting articles

see #3429

Merge branch '3.1' into 5.2

Fix PHP 5.5 compatibility

Fix copy and paste bug

see 3cd8f5f63c1327c1534a4e24908b3e49d4074871

Merge branch '3.1' into 5.2

Properly update page search index when editing

see #3430

Properly update article search index when editing

see #3430

Merge branch '3.1' into 5.2

Improved detection of the links to twitch's clips

Fix VoidFormDataProcessor for `null` values

Release 5.2.8

Updating minified JavaScript files

Merge branch '3.1' into 5.2

Release 3.1.16

Add close callback to form builder dialog

Updating minified JavaScript files

Merge branch '3.1' into 5.2

Prevent Chromium browser form injecting base64 encoded images

Fix button class for single media form field

Fix duplicate data handler registration for captcha form fields

Close #3441

Fixed error message in Form Builder

Whitelist `unserialize()` when running in enterprise mode

Merge branch '3.1' into 5.2

Merge pull request #3439 from WoltLab/cronjob-fix2

Fix calculation of nextExec of cronjobs

Fix calculation of nextExec of cronjobs

To properly calculate nextExec we must not specify the TIME_NOW parameter,
because if the cronjob is run on the scheduled time the nextExec() will
return the current time.

Not passing the TIME_NOW parameter adds at least 120 seconds of delay to
prevent this issue.

This bug was introduced in commit 485f8e1888824b862823de983e019afcb9bca7ce.
When moving the update of the execution time the calls were not correctly
moved and the explicit passing of TIME_NOW was added.

Release 5.2.8

Merge branch '3.1' into 5.2

Merge pull request #3428 from WoltLab/url-is

Fix Url::is()

Captcha setting was not considered

Updating minified JavaScript files

Removed misleading description

Missing module setting check

Fixed parameter validation

Merge pull request #3435 from xopez/patch-1

Remove unused Packageservers for 5.2

Update install.sql

Merge pull request #3434 from WoltLab/fix-shadow-groups

Properly support multiple instances of WoltLabSuite/Core/Ui/ItemList/User

Properly support multiple instances of WoltLabSuite/Core/Ui/ItemList/User

WoltLabSuite/Core/Ui/ItemList/User is a singleton and thus only has a single
instance of each object member. This lead to the `_shadowGroups` value being
fixed to the first input used.

Move the `_shadowGroups` into the existing `data` object (where the regular
`shadow` resides) to fix this issue.

Introduced in 8faf6ea10ac894b87b3e357f5248f67b4fd7b716.
Fixes #3433.

Merge branch '3.1' into 5.2

Merge pull request #3432 from WoltLab/linked-blocked-img

Fix markup for linked, blocked images in UGC

Fix markup for linked, blocked images in UGC

Fixes #3384

Add missing closing quotation mark in English language item

Fix Url::is()

`parse_url()` cannot be used to validate an URL, because it will accept
roughly everything. In fact this is documented in the parse_url() docs:

> This function is not meant to validate the given URL, it only breaks
> it up into the above listed parts. Partial URLs are also accepted,
> parse_url() tries its best to parse them correctly.

Fixes #3391

Merge pull request #3413 from WoltLab/existingMapping

Improve wording regarding existing import mapping

Updating minified JavaScript files

Fix formatting of text/plain notifications

see #325

Merge pull request #3424 from WoltLab/resizer-strip-exif

Strip exif information from loaded image in Resizer#loadFile

Strip exif information from loaded image in Resizer#loadFile

Modern browsers take the Exif orientation into account when showing a JPEG
within an HTMLImageElement. Unfortunately this orientation is not only
visual, but extends to the blob received when reading this image into a
canvas.

The JavaScript based image resizer using within the attachment system takes
care reinsert the original Exif data after fetching the resized blob from
pica.js.

This causes the image to be reoriented multiple times, ultimately leading
to an incorrectly oriented image:

1. The browser rotates the image.
2. The server rotates the image again, because the original Exif information
   has been preserved.

To fix this issue we strip the Exif information before handing the blob over
to the HTMLImageElement, forcing the browser to use the raw pixels instead
of pretending to be smart. When the Exif information is reinserted after
resizing the image that will be uploaded will then be reoriented only once:
On the server.

During fixing of this bug it was also investigated whether one can find out
whether the browser reoriented the image, it looks like one cannot. It was
also tested whether setting `image-orientation: none` will have any effect.

It only has in Firefox: When image-orientation: none is set you will get
the behavior as if no Exif information is present.
In Chrome the source image will not be be reoriented when rendered inside
of the DOM. Reading the pixel values however still returns the reoriented
garbage.

Thus stripping the exif information is the best solution to combat web
browsers attempting to be smart. Unfortunately it comes with an increased
processing requirement, because the raw blob (possible multiple megabytes)
will need to be processed to strip the Exif data.