Merge pull request #18153 from larssg-wildsight/patch-1

dev/core#1950 Update help text and description for the profile add to groups setting

Merge pull request #18221 from civicrm/eileenmcnaughton-patch-1

Remove ref to logging time

Merge pull request #18240 from demeritcowboy/deprecated-RID

Replace deprecated Drupal 8 constants

Merge pull request #18234 from pradpnayak/dedupeTrim

trim white space when checking dedupe

Merge pull request #18238 from agileware/separator-not-seperator

Spelling mistake "separator" not "seperator"

Merge pull request #18239 from demeritcowboy/gencode-checksum

[NFC] Some DAO checksums not updated

deprecated constants

checksums not updated

Global spelling mistake "separator" not "seperator"

Merge pull request #18231 from civicrm/5.29

5.29

Merge pull request #18230 from seamuslee001/5.29

Update contributor key for Andrew

trim white space when checking dedupe

Update contributor key for Andrew

Merge pull request #18228 from seamuslee001/5.29

5.28.2 & 5.29.3 Release Notes

Add release-notes/5.28.2.md

Add release-notes/5.28.3.md

Merge pull request #18226 from civicrm/5.29

5.29

Merge pull request #18223 from eileenmcnaughton/529deupe

dev/core#1964 Fix regression bug on deduping contacts with dedupe_exception matches

Merge pull request #18222 from civicrm/5.29

5.29 to master

dev/core#1964 Fix regression bug on deduping contacts with dedupe_exception matches

I want to do another pass on this & do more SELECT queries & less UPDATE queries so we are doing
less locking - but for now this should get us past the logged regression

Merge pull request #18214 from eileenmcnaughton/dedupe

Fix dedupe regression whereby deleted contacts are found

Merge pull request #18136 from demeritcowboy/deprecated-hook-invoke

[Test framework] - Remove test for deprecated way of calling hook invoke

Merge pull request #18208 from mattwire/contribregister_clean

Cleanup contactID variables in event/contribution register buildQuickForm

Merge pull request #18209 from mattwire/repeattransaction_cleanup

Remove unused variables from repeatTransaction

Merge pull request #18216 from eileenmcnaughton/meta

Metadata fix in activity search

Remove ref to logging time

The page is not anon accessible & I think we don't do this now - @joshgowans ?

Merge pull request #18217 from mattwire/orderapicleanup

Minor code cleanup to Order API

Minor code cleanup to Order API

Fix dedupe regression whereby deleted contacts are found

This affects api calls where check_permissions = TRUE and getduplicates is called. This can be
done via the api (per this test) or ann easy UI way is with the deduper extension but it should
also affect the 'normal' dedupe screen.

Note that there can be cases where the dedupe results are cached into prevnext cache to hide this

Merge pull request #18215 from civicrm/5.29

5.29

Metadata fix in activity search

This fixes it such that even if the pseudofield (activity_type) has a 'type' the 'type'
from the 'real field' is used in the WHERE query. This mostly prevents a test fail per

https://github.com/civicrm/civicrm-core/pull/18147

if we improve the metadata. It's a bit of a non-fail fail - ie we are checking the where
clause has activity_type_id = 3 vs '3' and my testing has not shown a performance difference
but we don't want the test to be changed to the less good version

Merge pull request #18206 from chamilwijesooriya/issue-1959

dev/core#1959 Brick\Math\Exception\RoundingNecessaryException

Merge pull request #18213 from eileenmcnaughton/is_deleted

Fix regression whereby deleted contacts are in quicksearch results

Fix regression whereby deleted contacts are in quicksearch results

dev/core#1959 Brick\Math\Exception\RoundingNecessaryException

Merge pull request #18211 from totten/master-resg

(NFC) Add some tests to the `resources` group

Merge pull request #18210 from civicrm/5.29

5.29

(NFC) Add some tests to the `resources` group

Merge pull request #18205 from demeritcowboy/expandy

dev/core#1963 - Expanded icon on manage groups appears as unknown icon

Merge pull request #18204 from eileenmcnaughton/529

dev/core#1961 Fix regression - cancel button not working on recurring contributions

Remove unused variables from repeatTransaction

Cleanup variables in event/contribution register forms

specify font

dev/core#1961 Fix regression - cancel button not working on recurring contributions

Note this form only shows for some processors. To test an easy way is to edit
CRM_Core_Payment::supportsCancelRecurring to return FALSE

Then attempt to cancel a recurring contribution - the cancel button does not launch a form
without this.

Regression from
https://github.com/civicrm/civicrm-core/pull/17178/files#diff-63d76bd172c85725aaf2e76247b86354L11

https://lab.civicrm.org/dev/core/-/issues/1961

Merge pull request #18203 from civicrm/5.29

5.29

Merge pull request #18200 from seamuslee001/5.29

(dev/core#1846) Container, ClassLoader Caches - Separate caches by ve…

(dev/core#1846) Container, ClassLoader Caches - Separate caches by version number

Before
------

If you load a new version of the CiviCRM codebase, then a freshness check
should cause the container cache to reset automatically (based on the fact
that various files have new timestamps).

However, it's possible that some kind of bug or omission prevents this from working.
Many developers won't notice such a bug because they're obsessive-compulsive
about clearing caches anyway.

After
-----

If you load a new version of the CiviCRM codebase, then it should use a new
container cache - regardless of how well the freshness check works.

Merge pull request #18195 from colemanw/customValueSave

APIv4 - Fix output of CustomValue create/save/update

Merge pull request #18199 from civicrm/5.29

5.29

Jenkins style fix

APIv4 - Fix output of CustomValue create/save/update

Before: output contained no useful data
After: output contains values and id

Copy-edits for 5.28.1.md

Add in release notes for 5.28.1

Merge pull request #18197 from mattwire/removefirstcontribution

Remove first_contribution key from repeattransaction

Remove first_contribution key from repeattransaction

Merge pull request #18182 from colemanw/severity

Remove unnecessary transformation of upgrade msg severity

Merge pull request #18114 from eileenmcnaughton/phone

Metadata fix - phone_type_id, location_type_id, gender_id

Merge pull request #18168 from twocs/patch-4

Check if $post defined before trying to use its field values.

security/core#95 Purify Summary and description fields for events on the event info and event cart screens

security/core#96 Escape the profile description field

Apply edit groups permission check to the button not the generaal permissionedForGroup check

[REF] Only show button to edit smart group if user has permissions

Security/core#61 Limit Access to update smart group task to only if the logged in user has edit groups permission.

Put a permission restriction on loading page without manage groups permission when saved search id is specified in the URL

security/core#94 Escape subject content when loading the Activity list for a contact

Fix auto-refresh of CKEditor configurator form

Convert CK Config form to quickform

CKEditor Config - Validate input before saving config file

Also removes support for 'customConfig' supplimental file.

CRM_Utils_JS - Improve validation of strings

Runs strings through json_decode to ensure they are valid.
Optionally throws an exception on error.

security/core#78 Purify HTML of activity details field when viewing the activity

CRM_Core_Key - Strengthen signature algorithm

This alters the qfKey signature algorithm, with a few aims:

1.  If someone wants to perform a brute-force to figure the per-session
    private-key, we want it go slow.  Therefore, use a slower hash (ie
    HMAC-SHA256 instead of MD5).

2.  If someone performs a timing attack aimed at figuring a passable qfKey,
    the execution-time for `validate()` should not provide any hints.

3.  If someone finds a way to manipulate one of the constituent parts
    ($sessionID, $name, $privateKey), we want it to be hard to create a
    collsion. So... (a) Use HMAC instead of a vanilla hash. (b) Use delimiters
    between the data sections ($sessionID, $name).

CRM_Core_Key - Improve entropy of "privateKey"

In PHP 4/5, there was no good, universal source of entropy.  The old code
mitigated this by aggregating mediocre sources.  On my system, it appears
to be roughly:

* 2^31 for each `mt_rand()`
* 10^8 =~ 2^26 for each `uniqid(...TRUE)` (after discounting the non-random right half of the uniqid).

So that's ~114 bits (albeit low-quality bits).

In PHP 7, the docs describe `random_bytes()` as "generat[ing] cryptographically secure pseudo-random bytes."

Additional code from Drupal's implementation

Update to use code from Drupal's patch

Patch jQuery for CVE-2020-11022 and CVE-2020-11023

security/core#81 Escape html in CRM_Core_LegacyErrorHandler messages

security/core#74 Prevent CSRF in CKEditor Config screen by switching to using Quickform built form

Merge pull request #18193 from civicrm/5.29

5.29 to master

Merge pull request #18180 from eileenmcnaughton/recur

dev/core#1945 Fix recur access regression

Merge pull request #18188 from demeritcowboy/mysqli-mysql

Put mysql back in civicrm.settings.php template

dev/core#1945 Fix recur access regression

Merge pull request #18189 from demeritcowboy/widget-notice

E_NOTICE on contribution page widget tab

e_notice on widget tab

put mysql back

Merge pull request #18183 from colemanw/versionCheck

CRM_Utils_VersionCheck - respect force param

Merge pull request #18174 from demeritcowboy/d8-upgrade-warning

dev/core#1937 - Upgrade message about needing composer patching turned on and updating mysql in DSN strings

Merge pull request #18187 from seamuslee001/master

5.29

Merge in 5.29

Merge pull request #18185 from civicrm/revert-18091-xbutton-529

Revert "Swap out button/submit inputs for button elements"

Merge pull request #18184 from totten/master-dao

(NFC) Update various DAO checksums

Revert "Swap out button/submit inputs for button elements"

upgrade message about composer patches

Update various DAO checksums

Merge pull request #18169 from demeritcowboy/no-discount

E_WARNING when saving event fees admin page if there's no discounts set

CRM_Utils_VersionCheck - respect force param

Remove unnecessary transformation of upgrade msg severity

Merge pull request #18181 from colemanw/upgrademsg

Upgrade screen - show success instead of error if already upgraded

Upgrade screen - show success instead of error if already upgraded

Merge pull request #18177 from eileenmcnaughton/gross

Processors - remove gross_amount param from processors

Merge pull request #18173 from civicrm/5.29

5.29

Merge pull request #18176 from agileware/CIVICRM-1465

{contribution.receipt_date} token does not use any CiviCRM date formatter, output in YYYY-MM-DD HH:MM:SS format and {contribution.receive_date} also uses a non-standard format