Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Escape HTML in the filename of the progress indicator during attachment upload

(cherry picked from commit 81b770284267db5dc8c8df86e303a20c3ccb8dce)

Merge branch 'cronjobLogList-xss' into 3.1

Fix XSS in the cronjob's error message in cronjobLogList

This can happen if untrusted information, such as the HTTP response body for a
failed Guzzle request, is embedded into the error message.

Thanks to @SoftCreatR for responsibly reporting the issue.

Updating minified JavaScript files

Escape HTML in the filename of the progress indicator during attachment upload

Only revert points when revoking a reaction

Upgrade to `actions/checkout@v3`

Merge branch '5.2' into 5.3

Upgrade to `actions/checkout@v3`

Validate the `pageNo` in UserTrophyAction::validateGetGroupedUserTrophyList()

Validate that the userID matches a user in UserFollowingAction::validateGetGroupedUserList()

Validate the `pageNo` in UserFollowingAction::validateGetGroupedUserList()

 Validate that the userID matches a user in UserFollowAction::validateGetGroupedUserList()

Validate the `pageNo` in UserFollowAction::validateGetGroupedUserList()

Validate the `pageNo` in MediaAction::validateGetSearchResultList()

Validate the `pageNo` in LikeAction::validateGetGroupedUserList()

Validate the `pageNo` in UserProfileVisitorAction::validateGetGroupedUserList()

Validate the limit and offset in Database::handleLimitParameter()

Simplify condition in UserTrophyAction::validateGetGroupedUserTrophyList()

Validate that the userID matches a user in UserTrophyAction::validateGetGroupedUserTrophyList()

Validate that the userID matches a user in UserProfileVisitorAction::validateGetGroupedUserList()

Fix typing of RuntimeCache's getObject() method

Fix detection of ipv4 adresses for stopforumspam integration

Validate the messageObjectType in MessagePreviewAction::validateGetMessagePreview()

Validate the object type definition in CommentAction::validateObjectType()

Release 5.3.20

Ignore `length` when diffing YearDatabaseTableColumn

Similarly to INT columns MySQL 8 ignores the length of YEAR columns:

https://dev.mysql.com/doc/refman/8.0/en/year.html

> As of MySQL 8.0.19, the YEAR(4) data type with an explicit display width is
> deprecated and you should expect support for it to be removed in a future
> version of MySQL. Instead, use YEAR without a display width, which has the
> same meaning.

Release 5.3.19

Merge branch '5.2' into 5.3

Release 5.2.19

Merge branch '3.1' into 5.2

Release 3.1.27

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Merge branch 'unknown-bbcode-xss' into 3.1

Fix XSS vulnerability in HtmlBBCodeParser::buildBBCodeTag()

Thanks to @methosiea for responsibly reporting this issue.

Resolves #4653

Fix regular expression for the `atext` production in EmailGrammar

Due to the missing escaping of the hyphen with a backslash the allowed
characters were not just:

- The plus sign (`+`, 0x2B),
- the dash      (`-`, 0x2D), and
- the slash     (`/`, 0x2F).

But all ASCII characters between 0x2B and 0x2F, namely:

- The plus sign (`+`, 0x2B),
- the comma     (`,`, 0x2C),
- the dash      (`-`, 0x2D),
- the dot       (`.`, 0x2E), and
- the slash     (`/`, 0x2F).

i.e. the comma and dot in addition to the actually allowed characters.

This error caused an incorrect encoding of headers in `::encodeHeader()`.
Specifically the real name of a mailbox was affected by this issue. As a result
a real name that included a dot, but otherwise matched the `atom` grammar was
improperly encoded, possibly causing email parsing failures for MUAs.

Merge branch '5.2' into 5.3

Remove codestyle workflow for non-PSR-12 branches

The recent backport of the `|json` template modifier from 5.5 to 3.1+ in
58bc4b693415079127dd11d8210d2564a443010d fails the code style, because the
branches 5.3 and earlier expect tabs instead of spaces for indentation.

It's not really work fixing the code style for the file, just to revert it once
again when merging upwards.

Remove the check for these older branches. They are only touched for bug fixes
and the style will need to be adapted when merging into 5.4.

Release 5.3.18

Merge branch '5.2' into 5.3

Release 5.2.18

Stop using `|encodeJSON`

(cherry picked from commit ab1e34de9ca94dc44b20d0b4d58eca2bad80d9d3)

Merge branch '3.1' into 5.2

Release 3.1.26

Add missing JSON encoding of the PAGE_TITLE in `ampArticle.tpl`

This does not need to be fixed in any current branch, because the broken-ness
of `|encodeJSON` will result in broken metadata one way or another.

(cherry picked from commit bba7f1706e30761e55954a5a4be569e5bb55a6c4)

Stop using `|encodeJSON`

(cherry picked from commit ab1e34de9ca94dc44b20d0b4d58eca2bad80d9d3)

Add `|json` template modifier

(cherry picked from commit e178fa84dc06861c5aba3d14e03161c5396fe9a7)

Release 5.3.17

Merge branch '5.2' into 5.3

Release 5.2.17

Merge branch '3.1' into 5.2

Release 3.1.25

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Merge branch 'encode-js-quot' into 3.1

Merge pull request #4642 from WoltLab/php-ddl-app-install

Fix the replacing of WCF_N in PHP DDL during app installation

Fix the replacing of WCF_N in PHP DDL during app installation

During app installation the newly installed app might not yet be stored within
the application cache, thus failing to replace the `1` within the table
structure definition.

Fix this by setting the `skipCache` parameter to `true`. This will increase the
number of database queries, because applications will be checked once for each
defined table and for each defined FOREIGN KEY, but I don't see a simple fix
for this issue that avoids this increase in query count. Specifically we cannot
simply reset the application cache after inserting the application into
wcf1_application.

Encode the double quote (`"`) in StringUtil::encodeJS()

`encodeJSON()` is currently broken, because while it HTML-encodes the double
quote, it does not actually add the backslash in front of it. Depending on
whether the HTML entity is interpreted by the browser in that specific location
or not, this either results in an incorrect string (with a literal `"`
instead of `"`) or in a syntax error (because the `"` ends the string
prematurely).

The latter might even allow for the injection of JavaScript, if `encodeJSON` is
used in a `<script>` tag that is not just LD-JSON metadata.

Fix this issue by escaping the double quote in `encodeJS` which is used
internally by `encodeJSON`. This should not cause issues, as an escaped double
quote is valid syntax within a JavaScript string.

Release 5.3.16

Cast `$length` to an actual `int` in TLengthDatabaseTableColumn::length()

When the object is being initialized from the existing structure in the
database, the length will be passed as a string and was previously stored as-is
within the object.

This violates the existing PHPDoc type declaration and breaks consumers that
use a strict comparison (`===`) to check the length, notably
`YearDatabaseTableColumn`.

Fix this by casting the passed parameter to an actual `int`. This should be
adjusted to a proper parameter type in a future version.

Resolves #4594

[Tim: Adjusted commit message]

Release 5.3.15

Updating minified JavaScript files

Merge branch '5.2' into 5.3

Release 5.2.16

Updating minified JavaScript files

Merge branch '3.1' into 5.2

Updating minified JavaScript files

Fixed suffix declaration in XSD

As of now, a suffix is only allowed for option categories, which is wrong,
because a suffix can only be applied to an option itself.

Resolves #4596

Release 3.1.24

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Incorrect reset of the timer to show the loading indicator

The missing reset caused repeated calls to `show()` being effectively ignored, because the check `_timeoutShow === null` would be always true if the callback was cancelled before.

See https://community.woltlab.com/thread/293232-ajaxstatus-wird-nach-einem-fehlerhaften-request-nicht-wieder-angezeigt/

Merge branch '5.2' into 5.3

Fix error message for `foreignColumnChange` in PHP DDL API

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Merge pull request #4574 from WoltLab/supportexpiry-31

Notify users of the expiring support

Notify users of the expiring support

This effectively is 14a6db14f1ac63da83098dc648288ae07df62e80 combined with
637c1ca28225918a1a07680b7759c02565cd4c50.

Regenerate composer autoloader

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Fix EmailNewActivationCodeForm

This got broken, because it inherits from RegisterNewActivationForm and the “is
already enabled” validation was moved into a dedicated method within there. This
is a perfect example of why one should never inherit from controllers …

see f394421c0cc7e8879007092e40e540b2fd1118c1

Merge pull request #4531 from WoltLab/http-request-timeout

Configure emergency timeout in HTTPRequest

Cast the Redis port to int

The `Redis::connect()` method expects the `$port` parameter to be an integer.
PHP will automatically cast numeric strings to an integer, but error out with
an TypeError if the string is not a well-formed number. This TypeError will not
be caught in an `catch(\Exception $e)` block, because TypeError does not
inherit Exception.

Perform an explicit cast to ensure the fallback to DiskCacheSource works.

Configure emergency timeout in HTTPRequest

The connect and read timeouts might not reliably trigger in all cases.
Configure a large overall timeout to ensure PHP workers will terminate
eventually.

see 2dbd5654cb9faff45bb51df9a2f3834bd320cc00

Merge pull request #4497 from max-m/patch-categoryMultiSelectOptionType

Make `categoryMultiSelectOptionType.tpl` behave like `categoryOptionList.tpl`

Incorrect gradient value in Safari

https://community.woltlab.com/thread/292475-mainmenushowprevious-mainmenushownext-safari-farbunterschied-fehler/

Make `categoryMultiSelectOptionType.tpl` behave like `categoryOptionList.tpl`

Currently the `categoryMultiSelectOptionType.tpl` outputs nodes of depth 0 and depth 1,
but article categories for example can be nested deeper than that.
The `categoryOptionList.tpl` as used by the category add forms handles arbitrary nesting levels already,
so I’ve ported the template logic over to the multi select option template.

The maximum nesting depth in the `AbstractCategoryMultiSelectOptionType.class.php` has been changed
to the default value (-1) to allow for infinite nesting depths.

Merge pull request #4496 from mutec/tagfieldfdp1

fix id of `CustomFormDataProcessor` in `TagFormField`

fix id of `CustomFormDataProcessor` in `TagFormField`

the id was `acl` which seems to be a copy paste-mistake

Merge branch '5.2' into 5.3

Merge pull request #4493 from WoltLab/5.3-aclformfieldcleanup

Reset ACL field values within form cleanup

Release 5.3.14

Incorrect use of spaces for indentation in <5.4

Sandbox `foreachVars` in templates

Nesting the same template inside a `foreach` loop that is also accessed inside the nested call will overwrite the values from the outer template due to identical identifiers being used.

The sandbox did not protected `$this->foreachVars` despite being stateful.

See #4431
Fixes #4444

Reset ACL field values within form cleanup

Remove empty lines