Merge branch '5.3' into 5.4

Merge branch '5.2' into 5.3

Fix error message for `foreignColumnChange` in PHP DDL API

Merge branch '5.3' into 5.4

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Merge pull request #4574 from WoltLab/supportexpiry-31

Notify users of the expiring support

Notify users of the expiring support

This effectively is 14a6db14f1ac63da83098dc648288ae07df62e80 combined with
637c1ca28225918a1a07680b7759c02565cd4c50.

Fix code style in UserFormField

Ignore values referring to non-existent users in UserFormField::value()

This is required when reloading database values for a UserFormField that is not
required. The column either contains a `0` or `null` which previously failed to
reload.

Fix this by filtering out `null` values from `$this->users` and gracefully
handling an empty `$this->users` array.

Fix UserProfile::getUserProfilesByUsername() if `null` is cached

Fix type of `UserFormField::$users`

Use `\array_column()` in UserFormField::value()

Revert "Make PHP status in SystemCheckPage resilient against method reordering"

This change was buggy and it's not worth the effort to do this cleanly.

This reverts commit ba725407cd3e7ee83961e355252841153493face.

Wrap overly long line in SystemCheckPage

Make PHP status in SystemCheckPage resilient against method reordering

Fix indentation in systemCheck.tpl

Fix ACP login for PHP 8.1

see 9d12c9783ce32b0396a80a498f54b053591d4aa3

Merge branch '5.3' into 5.4

Regenerate composer autoloader

Sync `aclSimple.tpl`

 Improved a11y of radio buttons

 See f4ec1c5a25e150fbb8b27818fdbaed816259decb

Workaround for multiple quote handlers on one page

Specify a default value for `register_disabled`

see 83a6038eea6da6608c5363be7b9f88080f3dadb1
see #4565

Specify a default value for `force_login`

see 83a6038eea6da6608c5363be7b9f88080f3dadb1
see #4565

Specify a default value for `module_paid_subscription` / `paid_subscription_enable_tos_confirmation`

see 83a6038eea6da6608c5363be7b9f88080f3dadb1
see #4565

Specify a default value for `offline` / `offline_message_allow_html`

see 83a6038eea6da6608c5363be7b9f88080f3dadb1
see #4565

Specify a default value for `enable_censorship`

This did not cause issues in practice, as `options.inc.php` reliably contained
a `0` as the option’s value.

Fixes #4565

Merge pull request #4556 from WoltLab/password-toggle-submit

Hide all passwords upon form submission in Core/Ui/Password.ts

Merge pull request #4555 from WoltLab/style-delete

Move all of the style deletion logic into StyleEditor

Fix PHPDoc return type for IDatabaseTableColumn::getDefaultValue()

Use `->prepare()` instead of `->prepareStatement() in LastActivityCronjob

Fix `userID` condition in LastActivityCronjob

Add `UnfurlUrl::$status` to `@property-read`

Closes #4561

[Tim: Rephrased the commit message]

Hide all passwords upon form submission in Core/Ui/Password.ts

Resolves #4554

Move all of the style deletion logic into StyleEditor

This ensures that all the files on the filesystem are deleted no matter how the
style is deleted. Previously the style's image folder remained when
StyleEditor::delete() was used, for example within the style PIP.

Merge pull request #4552 from WoltLab/email-header-case

Use canonical header casing in PhpEmailTransport

Use canonical header name in PhpEmailTransport

Add Email::getCanonicalHeaderName()

Incorrect data type used in AJAX requests for search requests

The `Set` type is not understood by the browser's AJAX API and thus silently discarded.

Merge branch '5.3' into 5.4

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Fix EmailNewActivationCodeForm

This got broken, because it inherits from RegisterNewActivationForm and the “is
already enabled” validation was moved into a dedicated method within there. This
is a perfect example of why one should never inherit from controllers …

see f394421c0cc7e8879007092e40e540b2fd1118c1

Fix bad merge from 5.3 to 5.4

Commit f394421c0cc7e8879007092e40e540b2fd1118c1 was incorrectly applied.

Allow unblocking non-blockable users from within the profile

Fixes #4548

Updating minified JavaScript files

Update npm dependencies in extra/

Updating minified JavaScript files

Support for the embedding of private vimeo videos

Merge pull request #4539 from WoltLab/php-ddl-reject-duplicate-index-column

Reject indices with duplicate columns in DatabaseTableChangeProcessor

Merge pull request #4540 from WoltLab/5.4-image-proxy-exception

Correctly wrap \RuntimeException from body reading in \DomainExceptio…

Correctly wrap \RuntimeException from body reading in \DomainException in ImageProxyAction

Reject indices with duplicate columns in DatabaseTableChangeProcessor

Resolves #4536

Merge pull request #4538 from WoltLab/5.4-disable-unfurling-in-signatures

Disable unfurled urls in signatures

Disable unfurled urls in signatures

Fix check whether a non-owned FOREIGN KEY is being dropped in DatabaseTableChangeProcessor

The reproducer and fix is effectively identical to the one in
167291206e57ffb9bc043308682061e5e499ff45.

Package A: Installs FOREIGN KEY (someOtherUserID) REFERENCES wcf1_user (userID)
Package B: Installs FOREIGN KEY (userID) REFERENCES wcf1_user (userID)
Package B: Drops FOREIGN KEY (userID) REFERENCES wcf1_user (userID)

It was erroneously detected that Package B would drop the foreign key owned by
Package A, but possibly only after the foreign key has already been (correctly)
dropped. This delay in check is caused by the `continue 2;` skipping any other
foreign keys after matching up one foreign key.

The actual dropping logic was already correct, just the safety check was
incorrect.

see #4434

Force blur the editor after replying with a message

See https://community.woltlab.com/thread/292195-probleme-mit-opera-mobile-unter-android/

Force blur the editor after replying with a message

See https://community.woltlab.com/thread/292195-probleme-mit-opera-mobile-unter-android/

Merge pull request #4532 from WoltLab/unfurl-body-read-failure

Correctly wrap \RuntimeException from body reading in DownloadFailed in UnfurlResponse

Correctly wrap \RuntimeException from body reading in DownloadFailed in UnfurlResponse

Merge branch '5.3' into 5.4

Merge pull request #4531 from WoltLab/http-request-timeout

Configure emergency timeout in HTTPRequest

Merge remote-tracking branch 'origin/5.4' into 5.4

Add explicit check whether the port is numeric in Redis wrapper

This improves error messages.

Merge branch '5.3' into 5.4

Cast the Redis port to int

The `Redis::connect()` method expects the `$port` parameter to be an integer.
PHP will automatically cast numeric strings to an integer, but error out with
an TypeError if the string is not a well-formed number. This TypeError will not
be caught in an `catch(\Exception $e)` block, because TypeError does not
inherit Exception.

Perform an explicit cast to ensure the fallback to DiskCacheSource works.

Configure emergency timeout in HTTPRequest

The connect and read timeouts might not reliably trigger in all cases.
Configure a large overall timeout to ensure PHP workers will terminate
eventually.

see 2dbd5654cb9faff45bb51df9a2f3834bd320cc00

Incorrect detection of HTML tags

The previous regex was incorrect and caused false-positive matches. One such case was a `<td>The …</td>` which translated into `###td ###The …`, causing it to be recognized as a `<th>`.

The new regex is much more restrictive by requiring at least one whitespace after the tag name if there is additional content.

Fix removing reactions on guests content

Since MySQL 8 the deletion of reactions on contents created by guests might fail. The ReactionHandler tries to update the likesReceived column for a non-existent user, sending the empty string as the userID. Recent versions of MySQL 8 error out with MySQL error 1292. The following MySQL bug appears to be related:

https://bugs.mysql.com/bug.php?id=101806

Merge pull request #4526 from WoltLab/session-cookie-lifetime

Decrease the session cookie lifetime leeway to 1 week

Decrease the session cookie lifetime leeway to 1 week

With the increase of the user session lifetime to 2 months, simply multiplying
by two results in an excessive cookie lifetime.

Decrease this to a constant leeway of 1 week. If the cookie in the browser
expires, the session on the server should be long gone, even for wildly
incorrect local clocks.

Merge pull request #4525 from WoltLab/session-device-icon

Move Session::getDeviceIcon() into UserAgent::getDeviceIcon()

Move Session::getDeviceIcon() into UserAgent::getDeviceIcon()

This method does not really belong into the Session class.

Validate the XSRF-Token in DeleteSessionAction

This is not necessarily required, because the `sessionID` already contains high
entropy. However the JavaScript code already provides the XSRF-Token, so let's
validate it for completeness.

Remove SECURITY_TOKEN* constants from constants.php

These were effectively deprecated in 3f6a261b1e6a3804370eb1e2a046ea6c666dbedd.

Remove SID* constants from constants.php

These were removed in 8a35fd6de81f1138456fb777eb57d4b3907c0c66.

Release 5.4.8

Release 5.4.8 dev 2

Merge pull request #4516 from WoltLab/xsrf-token-error

Improve phrasing for XSRF token error messages

Improve phrasing in wcf.ajax.error.sessionExpired

see #4501

Improve phrasing in wcf.global.form.error.securityToken

see #4501

Release 5.4.8 dev 1

Updating minified JavaScript files

Fix typo in setup_en.xml

Incorrect type comparison when the legacy mysql extension is been used

Merge branch '5.3' into 5.4

Merge pull request #4497 from max-m/patch-categoryMultiSelectOptionType

Make `categoryMultiSelectOptionType.tpl` behave like `categoryOptionList.tpl`

Take the array key into account when checking whether an unnamed KEY matches in DatabaseTableChangeProcessor

The reproducer effectively matches d7f721d6f920d66f75102723b504d89e57a8c9ff, except that the KEY
is unnamed.

Previously the update would silently fail to do anything. Now the update fails
loudly, because it attempts to create another index with an existing name. This
is no different behavior compared to an INDEX collision of two unnamed indices
`(a, b)`, `(a, c)`. The developer will be clearly alerted of this issue and can
take appropriate measures to avoid it, e.g. by using explicit names.

see #4434

Skip desktop notifications on Android

Notifications are not supported outside of the context of service workers.

See https://community.woltlab.com/thread/292374-chrome-android-failed-to-construct-notification-illegal-constructor/

Do not error during validation of TOTP codes if an invalid device is selected

Do not pass `null` to `|encodeJS`

This breaks in PHP 8.1.

Fix TypeScript code style

Fix SCSS code style

Use well-specified node.js for Prettier jobs in GitHub Actions

Update GitHub Actions to node.js 16

Skip bogus selection changes

Skip the check for the caret position if the selection is invalid

Merge branch '5.3' into 5.4

Incorrect gradient value in Safari

https://community.woltlab.com/thread/292475-mainmenushowprevious-mainmenushownext-safari-farbunterschied-fehler/