(dev/core#1846) Container, ClassLoader Caches - Separate caches by version number

Before
------

If you load a new version of the CiviCRM codebase, then a freshness check
should cause the container cache to reset automatically (based on the fact
that various files have new timestamps).

However, it's possible that some kind of bug or omission prevents this from working.
Many developers won't notice such a bug because they're obsessive-compulsive
about clearing caches anyway.

After
-----

If you load a new version of the CiviCRM codebase, then it should use a new
container cache - regardless of how well the freshness check works.

Jenkins style fix

Copy-edits for 5.28.1.md

Add in release notes for 5.28.1

security/core#95 Purify Summary and description fields for events on the event info and event cart screens

security/core#96 Escape the profile description field

Apply edit groups permission check to the button not the generaal permissionedForGroup check

[REF] Only show button to edit smart group if user has permissions

Security/core#61 Limit Access to update smart group task to only if the logged in user has edit groups permission.

Put a permission restriction on loading page without manage groups permission when saved search id is specified in the URL

security/core#94 Escape subject content when loading the Activity list for a contact

Fix auto-refresh of CKEditor configurator form

Convert CK Config form to quickform

CKEditor Config - Validate input before saving config file

Also removes support for 'customConfig' supplimental file.

CRM_Utils_JS - Improve validation of strings

Runs strings through json_decode to ensure they are valid.
Optionally throws an exception on error.

security/core#78 Purify HTML of activity details field when viewing the activity

CRM_Core_Key - Strengthen signature algorithm

This alters the qfKey signature algorithm, with a few aims:

1.  If someone wants to perform a brute-force to figure the per-session
    private-key, we want it go slow.  Therefore, use a slower hash (ie
    HMAC-SHA256 instead of MD5).

2.  If someone performs a timing attack aimed at figuring a passable qfKey,
    the execution-time for `validate()` should not provide any hints.

3.  If someone finds a way to manipulate one of the constituent parts
    ($sessionID, $name, $privateKey), we want it to be hard to create a
    collsion. So... (a) Use HMAC instead of a vanilla hash. (b) Use delimiters
    between the data sections ($sessionID, $name).

CRM_Core_Key - Improve entropy of "privateKey"

In PHP 4/5, there was no good, universal source of entropy.  The old code
mitigated this by aggregating mediocre sources.  On my system, it appears
to be roughly:

* 2^31 for each `mt_rand()`
* 10^8 =~ 2^26 for each `uniqid(...TRUE)` (after discounting the non-random right half of the uniqid).

So that's ~114 bits (albeit low-quality bits).

In PHP 7, the docs describe `random_bytes()` as "generat[ing] cryptographically secure pseudo-random bytes."

Additional code from Drupal's implementation

Update to use code from Drupal's patch

Patch jQuery for CVE-2020-11022 and CVE-2020-11023

security/core#81 Escape html in CRM_Core_LegacyErrorHandler messages

security/core#74 Prevent CSRF in CKEditor Config screen by switching to using Quickform built form

Merge pull request #18180 from eileenmcnaughton/recur

dev/core#1945 Fix recur access regression

dev/core#1945 Fix recur access regression

Merge pull request #18174 from demeritcowboy/d8-upgrade-warning

dev/core#1937 - Upgrade message about needing composer patching turned on and updating mysql in DSN strings

Merge pull request #18185 from civicrm/revert-18091-xbutton-529

Revert "Swap out button/submit inputs for button elements"

Revert "Swap out button/submit inputs for button elements"

upgrade message about composer patches

Merge pull request #18175 from demeritcowboy/installation-doclinks

Installation doclinks not getting url-rewritten

installation doclinks

Merge pull request #18166 from demeritcowboy/cvv-required

cvv required html attribute should depend on backoffice setting

required

Merge pull request #18163 from seamuslee001/5.29

[REF] Remove unnecessary comma

[REF] Remove unnecessary comma

Merge pull request #18133 from eileenmcnaughton/utf529

Fix 5.29 (unreleased) regression using temp tables

Merge pull request #18149 from seamuslee001/dev_core_1952

dev/core#1952 Remove uncessary component checking when exporting all …

Fix 5.29 regression using temp tables

I just pushed 5.29rc through our WMF CI & it failed on a situation where it created a temp
table and that got joined on a non-temp table with a collation mix error. The issue is that the
DB default is set to utf8_general_ci (at least on our development DBs) whereas the
civicrm tables are utf8_unicode_ci. Until https://github.com/civicrm/civicrm-core/pull/18012/files
there was a list of permitted matches for db collation but now any 'utf' string matches.

From what I can tell utf8_general_ci  is a pretty common collation on drupal DBs and from my tests
it causes problems if not excluded here

dev/core#1952 Remove uncessary component checking when exporting all activities

Merge pull request #18144 from seamuslee001/dev_core_1953

dev/core#1953 Ensure that Contribution pages do not fail validation o…

dev/core#1953 Ensure that Contribution pages do not fail validation on credit cards when a zero dollar price is offered

Merge pull request #18126 from eileenmcnaughton/dupe529

dev/core#1934 fix regression on merging contacts with settings using contact_id

Merge pull request #18123 from seamuslee001/dev_core_1936_alternate

dev/core#1936 Make the price field value label field not required

dev/core#1934 fix regression on merging contacts with settings using contact_id

This is an interim fix to a reported regression. I'll look at more carefully in master when time permits

dev/core#1936 Make the price field value label field not required

Fix test and ensure default value is NULL

Merge pull request #18091 from agh1/xbutton-529

Swap out button/submit inputs for button elements

Merge pull request #18101 from demeritcowboy/eventcart-settingcheck

dev/event#40 - EventCart - Check legacy setting until extension is public

check legacy setting until extension is public

Merge pull request #18068 from seamuslee001/dev_wordpress_66

dev/wordpress#66 Re-instate newer variables but with more support for…

Merge pull request #18092 from seamuslee001/preimum_onbehalfof_fix

[REF] Fix jquery validation for on behalf of fields when combined wit…

[REF] Fix jquery validation for on behalf of fields when combined with a preimum

Merge pull request #17950 from lcdservices/dev-core-1895

dev/core#1895 fix first/last name adv search

More radical cleanup of button CSS

Fix CSS for new buttons

Fix JS for input buttons that are now button buttons

Remove deprecated submitOnce js function

No need for crm-button wrappers for real buttons

Give buttons a value when the submitted value is used to identify them

Put icons inside of button elements

Swap out button/submit inputs for button elements

Merge pull request #18088 from agh1/forcebackend

dev/core#1905 force backend links for new "configure" buttons

Merge pull request #18085 from totten/5.29-periodic

dev/core#1932 - Make status-checks more polite during upgrade

dev/wordpress#66 Re-instate newer variables but with more support for legacy file systems

dev/core#1905 force backend links for new "configure" buttons

dev/core#1932 - Make status-checks more polite during upgrade

Before
------

If you happen to run a status-check (eg `showPeriodicAlerts()`) in the interim between
downloading code and running DB upgrades, then you'll get weird failures.

After
-----

The status-checks are able to complete.

Technical Details
-----------------

(1) I figure that this conditional is lightweight because it relies on data
that's read-once and then cached in memory:

```
CRM_Utils_System::version() !== CRM_Core_BAO_Domain::version()
```

(2) The easiest way to reproduce is to get a DB from before 4.7 and coerce
`CRM_Utils_Check::CHECK_TIMER`.

Set version to 5.29.beta1

Merge pull request #18080 from seamuslee001/dev_core_1928

dev/core#1928 Fix HTML5 error due to required attribute being set swi…

Merge pull request #18084 from civicrm/5.28

5.28

Merge pull request #18083 from totten/5.28-rn

(NFC) 5.28.0.md - Describe last minute PR. Random copyedits.

Merge pull request #18082 from seamuslee001/master

5.28

5.28.0.md - Describe last minute PR. Random copyedits.

Merge in 5.28

Merge pull request #18079 from eileenmcnaughton/528

dev/core#1930 fix for move-related checkbox being overridden to true …

dev/core#1928 Fix HTML5 error due to required attribute being set switch to using a class as jquery.validation picks up the class as well

dev/core#1930 fix for move-related checkbox being overridden to true in form

Merge pull request #18078 from eileenmcnaughton/directp

dev/financial#135 Remove stub function from payflowPro

Merge pull request #18077 from civicrm/5.28

5.28

Merge pull request #18000 from eileenmcnaughton/brn

Fix button name on updated form

Remove stub function

We used to do this, we don't now

Merge pull request #18074 from agh1/5.28.0-releasenotes-final

5.28.0 release notes final edits

5.28.0 release notes: added late changes

5.28.0 release notes: misc edits

Merge pull request #18073 from seamuslee001/provider_test_php74

[NFC] Fix provider unit test on PHP7.4

Merge pull request #17981 from eileenmcnaughton/merge_form

[REF] Move handling of form elements back to the Form

Merge pull request #18071 from eileenmcnaughton/anet

Do not pass-by-reference to recur function

Merge pull request #18072 from eileenmcnaughton/manual

dev/financial#135 Remove unreachable doDirectPayment from manual processor

[NFC] Fix provider unit test on PHP7.4

Merge pull request #18049 from christianwach/lab-core-1891

Refactor "applyLocale" and remove references to "language" column in UFMatch table

dev/financial#135 Remove unreachable doDirectPayment from manual processor

doDirectPayment is only ever called (deprecated) when doPayment is not overriden (for quite some time now). This is
unreachable & can be removed

Do not pass-by-reference to recur function

This is called once, from the main function and the values are not used again

Merge pull request #18065 from colemanw/cronAlert

Show cron warning on Scheduled Jobs admin page

Merge pull request #18069 from civicrm/5.28

5.28

APIv4 - Fix potential PHP undefined index warning

Ensures the array key '0' exists in the where clause before accessing it.

Merge pull request #18070 from seamuslee001/dev_core_1927

dev/core#1927 Ensure that the contents of the database table are fixe…

Merge pull request #18056 from pradpnayak/invopdf

Use correct pdf package to generate pdf file on invoice download/email activity

dev/core#1927 Ensure that the contents of the database table are fixed up before changing the column type

Merge pull request #18066 from seamuslee001/dev_drupal_131

dev/drupal#131 Ensure that the General class exists

dev/drupal#131 Ensure that the General class exists

Merge pull request #18005 from agh1/button-icon-placement

Fix buggy placement of icons on buttons

Merge pull request #18058 from eileenmcnaughton/date

[REF] Even less variable variables

Show cron warning on Scheduled Jobs admin page