Check whether WCFSetup is accessed using HTTPS

Resolves #4502

Sort neededFilesPattern in install.php

Inline error handler and exception handler in install.php

Synchronize error handling in install.php with core.functions.php

The previous error handling:

a) was buggy. It failed during stack trace printing under certain
   circumstances.
b) was outdated with regard to the design.

Avoid the use of $_REQUEST in install.php

Remove useless file_exists() check for composer autoloader in install.php

The autoloader must exist at that point.

Remove unnamespaced IPrintableException from install.php

Clean up `$prefix` generation in install.php

Remove unused methods from BasicFileUtil in install.php

Remove `is_countable` polyfill from install.php

see a178c052b8ecc5b1306607955702d6acf2ac254e

Remove `escapeString()` from install.php

see 270ed434d4dc8a44862b38715b826f63943bfcb0

Run php-cs-fixer using PHP 8.0

Merge pull request #4507 from WoltLab/polyfill

Use Symfony's PHP polyfills

Merge pull request #4508 from WoltLab/search-index-manager-cleanup

Remove add() and update() from ISearchIndexManager

Remove add() and update() from ISearchIndexManager

These methods are long-deprecated, remove them from the interface to not force
search engine authors to implement these.

It is expected that code consuming the search API uses the `SearchIndexManager`
class instead of directly accessing a specific `*SearchIndexManager`. The
`SearchIndexManager` only uses `->set()` on the underlying actual
`*SearchIndexManager`. Thus no compatibility break is expected.

Satisfy the PHP syntax check in GitHub Actions

The PHP 7.3 polyfill fails for PHP 7.3, because of a duplicate class
declaration. This file is not actually loaded in new PHP versions, thus we can
ignore it.

Remove custom `is_countable` polyfill from core.functions.php

This is provided by symfony/polyfill-php73.

Add symfony/polyfill-php73 and symfony/polyfill-php74

Deprecate the escapeString() helper (#4506)

Developers are strongly encouraged to use prepared statements. If this is not
possible for compatibility reasons, they should use the `->escapeString()`
method directly.

Deprecating the helper ultimately allows cleaning up core.functions.php which
has become a dumping ground for all type of stuff over time.

Co-authored-by: Alexander Ebert <ebert@woltlab.com>

Stop using the `escapeString` helper in MysqlSearchEngine

Merge branch '5.4'

Merge branch '5.3' into 5.4

Merge branch '5.4'

Merge pull request #4497 from max-m/patch-categoryMultiSelectOptionType

Make `categoryMultiSelectOptionType.tpl` behave like `categoryOptionList.tpl`

Take the array key into account when checking whether an unnamed KEY matches in DatabaseTableChangeProcessor

The reproducer effectively matches d7f721d6f920d66f75102723b504d89e57a8c9ff, except that the KEY
is unnamed.

Previously the update would silently fail to do anything. Now the update fails
loudly, because it attempts to create another index with an existing name. This
is no different behavior compared to an INDEX collision of two unnamed indices
`(a, b)`, `(a, c)`. The developer will be clearly alerted of this issue and can
take appropriate measures to avoid it, e.g. by using explicit names.

see #4434

Merge pull request #4504 from WoltLab/notification-cleanup

Increase defaultvalue of user_cleanup_notification_lifetime to 31 days

Skip desktop notifications on Android

Notifications are not supported outside of the context of service workers.

See https://community.woltlab.com/thread/292374-chrome-android-failed-to-construct-notification-illegal-constructor/

Increase defaultvalue of user_cleanup_notification_lifetime to 31 days

A notification lifetime of just 2 weeks is insufficient, because it might
easily result in an user losing important notifications over their summer
vacation.

As an example: If a user checks out on a Friday afternoon and checks in on a
Monday morning 2 weeks later, they'll have lost any notifications arriving on
the first weekend weekend. If their vacation is even longer, e.g. due to a
public holiday, they'll also lose non-weekend notifications.

Increase the lifetime to 31 days. This spans a range from a Friday afternoon
until the Monday afternoon 4 weeks later. This should be sufficiently long for
pretty much all types of vacation.

The old default of 14 days dates back to December 2014 in commit
5cdf8c0338381d1c880bd07d46bb7fcbbde09b61.

Increase the minvalue for the user_*_lifetime options to 1 day

A value of 0 is not useful, because deletion is completely unpredictable.

Merge pull request #4503 from WoltLab/5.5-get-subscribers-helper-method

Add method to get all subscribers of an object

Add method to get all subscribers of an object

Merge branch '5.4'

Do not error during validation of TOTP codes if an invalid device is selected

Merge branch '5.4'

Do not pass `null` to `|encodeJS`

This breaks in PHP 8.1.

Enable npm caching for all GitHub Actions jobs

see 1a0841ca4d71142ba6d8adfce914bbaa90c41bb4

Merge branch '5.4'

Fix TypeScript code style

Fix SCSS code style

Use well-specified node.js for Prettier jobs in GitHub Actions

Update GitHub Actions to node.js 16

Skip bogus selection changes

Skip the check for the caret position if the selection is invalid

Merge branch '5.3' into 5.4

Incorrect gradient value in Safari

https://community.woltlab.com/thread/292475-mainmenushowprevious-mainmenushownext-safari-farbunterschied-fehler/

Update npm dependencies

Merge branch '5.4'

Fix SCSS code style

Apparently the replacement of 100% by 1 caused the line to be sufficiently
short to rewrap.

Fix use of transparentize() in *.scss

The function expects a unitless number between 0 and 1 as the second parameter.
The updated SCSS compiler in 5.5+ complains about this misuse.

Merge branch '5.4'

Fix return type for SeekableIterator::* implementations

The `mixed` type is not available with our current minimum PHP version, thus
using ReturnTypeWillChange for these.

Update composer dependencies

Update scssphp/scssphp to 1.8.1

This is for PHP 8.1 compatibility.

Merge branch '5.4'

Move scssphp to the WoltLab fork

This is for PHP 8.1 compatibility.

Merge branch '5.4' of https://github.com/WoltLab/WCF into 5.4

Enable `X-Frame-Options` for the WCFSetup

This has the side effect of suppressing `SameSite=none` for the cookies, which fails on insecure connections because this attribute value is valid for secure cookies only.

Resolves #4499
Follow up for 2a9d48c4badc4de2e0f2d2fc73c3af2bee39cce8

Merge branch '5.4'

Fix return type of `count()` for the remaining classes implementing \Countable

see 3f6b343d10b044ab08d41fec525f69ffe0a95e49

Fix PHP 8.1 compatibility in DatabaseObjectList

> Return type of wcf\data\DatabaseObjectList::count() should either be
> compatible with Countable::count(): int, or the #[ReturnTypeWillChange]
> attribute should be used to temporarily suppress the notice […]

Merge branch '5.4'

Enable `X-Frame-Options` for the WCFSetup

This has the side effect of suppressing `SameSite=none` for the cookies, which fails on insecure connections because this attribute value is valid for secure cookies only.

Resolves #4499

Skip the default cover photo when rebuilding users

Fixes #4500

Set the XSRF-Token cookie to SameSite=lax

As it turns out, `strict` is too strict for some use cases of the average user,
as it might suppress the cookie when the user researches something while
writing a post and ultimately comes back to the community via an external link.

This request will not have the XSRF-Token cookie attached due to violating the
`strict` policy, resulting in WoltLab Suite sending a fresh cookie in response.
This will then invalidate the token stored in the form where the user is in the
process of writing their post, ultimately resulting in an error message.

The `SameSite` value is meant as a defense in depth measure to protect the user
even if they current token leaked in some way. Reducing the strictness does not
reduce the security in a measurable way.

Fix `sprintf` parameter types

Merge pull request #4498 from WoltLab/5.5-notifications-for-comments-in-subscribed-article-categories

Notification about article comments by subscribing to the category

Typo

Add notification for comments in subscribed article categories

Make `categoryMultiSelectOptionType.tpl` behave like `categoryOptionList.tpl`

Currently the `categoryMultiSelectOptionType.tpl` outputs nodes of depth 0 and depth 1,
but article categories for example can be nested deeper than that.
The `categoryOptionList.tpl` as used by the category add forms handles arbitrary nesting levels already,
so I’ve ported the template logic over to the multi select option template.

The maximum nesting depth in the `AbstractCategoryMultiSelectOptionType.class.php` has been changed
to the default value (-1) to allow for infinite nesting depths.

Add `$user` parameter to `canRead()` for articles

Add `getSubscribedUserIDs()` function for article categories

Merge branch '5.4'

Merge branch '5.3' into 5.4

Merge pull request #4496 from mutec/tagfieldfdp1

fix id of `CustomFormDataProcessor` in `TagFormField`

fix id of `CustomFormDataProcessor` in `TagFormField`

the id was `acl` which seems to be a copy paste-mistake

Removed unnecessary type assertions

Rebuilt the compiled JavaScript

Merge branch '5.4'

Incorrect code style

Adjusted the `tab_width` for *.css/*.scss

Explicitly reduce the indent size of *.css/*.scss

Merge pull request #4494 from WoltLab/5.5-sql-installation-cleanup

Force overwrite unknown database tables using a known prefix

Merge branch '5.4'

Merge branch '5.3' into 5.4

Merge branch '5.2' into 5.3

Merge branch '5.3' into 5.4

Merge pull request #4495 from Fabii547/patch-79

Fix writing `runStandalone` attribute to package.xml

Merge pull request #4493 from WoltLab/5.3-aclformfieldcleanup

Reset ACL field values within form cleanup

Fix writing `runStandalone` attribute to package.xml

Force overwrite unknown database tables using a known prefix

Closes #4410

Release 5.4.7

Release 5.3.14

Incorrect use of spaces for indentation in <5.4

Sandbox `foreachVars` in templates

Nesting the same template inside a `foreach` loop that is also accessed inside the nested call will overwrite the values from the outer template due to identical identifiers being used.

The sandbox did not protected `$this->foreachVars` despite being stateful.

See #4431
Fixes #4444

Reset ACL field values within form cleanup

Remove empty lines

Release 5.4.7 RC 2

Replaced a hard-wired color value, Safari fix

Release 5.4.7 RC 1

Merge branch '5.4' of https://github.com/WoltLab/WCF into 5.4