Added hack for scaping curly brackets on smarty LaTeX templates

Tuned up PdfLatex font settings

Solving RT ticket #1092988
adding civicrm ID to contributin record

reverted js changes back to upstream

ipn receiver for external api

Priceset 2nd half

Priceset/debugwatchdog

Removed cache rebuild from the GroupContact

RT#765026, patch for null values in civicrm_acl_cache

Added the current uncommited changes to production code, and rebased to 4.6.8

Additional files for PDF/Latex

Rebase including LibreJS change

Merge pull request #18202 from totten/5.28-bump2

Set version 5.28.2

Merge pull request #18201 from seamuslee001/5.28

(dev/core#1846) Container, ClassLoader Caches - Separate caches by ve…

Add release-notes/5.28.2.md

Set version to 5.28.2

(dev/core#1846) Container, ClassLoader Caches - Separate caches by version number

Before
------

If you load a new version of the CiviCRM codebase, then a freshness check
should cause the container cache to reset automatically (based on the fact
that various files have new timestamps).

However, it's possible that some kind of bug or omission prevents this from working.
Many developers won't notice such a bug because they're obsessive-compulsive
about clearing caches anyway.

After
-----

If you load a new version of the CiviCRM codebase, then it should use a new
container cache - regardless of how well the freshness check works.

Merge branch '5_28_1_release_notes' into 'security-fixes'

5 28 1 release notes

See merge request security/core!127

Copy-edits for 5.28.1.md

Add in release notes for 5.28.1

Set version to 5.28.1

security/core#95 Purify Summary and description fields for events on the event info and event cart screens

security/core#96 Escape the profile description field

Apply edit groups permission check to the button not the generaal permissionedForGroup check

[REF] Only show button to edit smart group if user has permissions

Security/core#61 Limit Access to update smart group task to only if the logged in user has edit groups permission.

Put a permission restriction on loading page without manage groups permission when saved search id is specified in the URL

security/core#94 Escape subject content when loading the Activity list for a contact

Fix auto-refresh of CKEditor configurator form

Convert CK Config form to quickform

CKEditor Config - Validate input before saving config file

Also removes support for 'customConfig' supplimental file.

CRM_Utils_JS - Improve validation of strings

Runs strings through json_decode to ensure they are valid.
Optionally throws an exception on error.

security/core#78 Purify HTML of activity details field when viewing the activity

CRM_Core_Key - Strengthen signature algorithm

This alters the qfKey signature algorithm, with a few aims:

1.  If someone wants to perform a brute-force to figure the per-session
    private-key, we want it go slow.  Therefore, use a slower hash (ie
    HMAC-SHA256 instead of MD5).

2.  If someone performs a timing attack aimed at figuring a passable qfKey,
    the execution-time for `validate()` should not provide any hints.

3.  If someone finds a way to manipulate one of the constituent parts
    ($sessionID, $name, $privateKey), we want it to be hard to create a
    collsion. So... (a) Use HMAC instead of a vanilla hash. (b) Use delimiters
    between the data sections ($sessionID, $name).

CRM_Core_Key - Improve entropy of "privateKey"

In PHP 4/5, there was no good, universal source of entropy.  The old code
mitigated this by aggregating mediocre sources.  On my system, it appears
to be roughly:

* 2^31 for each `mt_rand()`
* 10^8 =~ 2^26 for each `uniqid(...TRUE)` (after discounting the non-random right half of the uniqid).

So that's ~114 bits (albeit low-quality bits).

In PHP 7, the docs describe `random_bytes()` as "generat[ing] cryptographically secure pseudo-random bytes."

Additional code from Drupal's implementation

Update to use code from Drupal's patch

Patch jQuery for CVE-2020-11022 and CVE-2020-11023

security/core#81 Escape html in CRM_Core_LegacyErrorHandler messages

security/core#74 Prevent CSRF in CKEditor Config screen by switching to using Quickform built form

Merge pull request #18191 from seamuslee001/5.28

dev/core#1945 Fix recur access regression

dev/core#1945 Fix recur access regression

Merge pull request #18167 from seamuslee001/5.28

cvv required html attribute should depend on backoffice setting

required

Merge pull request #18164 from seamuslee001/5.28

[REF] Remove unnecessary comma

[REF] Remove unnecessary comma

Merge pull request #18152 from seamuslee001/dev_core_1952_528

dev/core#1952 Remove uncessary component checking when exporting all …

dev/core#1952 Remove uncessary component checking when exporting all activities

Merge pull request #18145 from seamuslee001/dev_core_1953_28

dev/core#1953 Ensure that Contribution pages do not fail validation o…

dev/core#1953 Ensure that Contribution pages do not fail validation on credit cards when a zero dollar price is offered

Merge pull request #18129 from seamuslee001/5.28

dev/core#1934 fix regression on merging contacts with settings using …

dev/core#1934 fix regression on merging contacts with settings using contact_id

This is an interim fix to a reported regression. I'll look at more carefully in master when time permits

Merge pull request #18127 from seamuslee001/dev_core_1936_528

dev/core#1936 Make the label column on price_field_value table not re…

dev/core#1936 Make the label column on price_field_value table not required

Merge pull request #18099 from seamuslee001/5.28

[REF] Fix jquery validation for on behalf of fields when combined wit…

[REF] Fix jquery validation for on behalf of fields when combined with a preimum

Set version to 5.28.0

Merge pull request #18083 from totten/5.28-rn

(NFC) 5.28.0.md - Describe last minute PR. Random copyedits.

5.28.0.md - Describe last minute PR. Random copyedits.

Merge pull request #18079 from eileenmcnaughton/528

dev/core#1930 fix for move-related checkbox being overridden to true …

dev/core#1930 fix for move-related checkbox being overridden to true in form

Merge pull request #18074 from agh1/5.28.0-releasenotes-final

5.28.0 release notes final edits

5.28.0 release notes: added late changes

5.28.0 release notes: misc edits

Merge pull request #18070 from seamuslee001/dev_core_1927

dev/core#1927 Ensure that the contents of the database table are fixe…

dev/core#1927 Ensure that the contents of the database table are fixed up before changing the column type

Merge pull request #18066 from seamuslee001/dev_drupal_131

dev/drupal#131 Ensure that the General class exists

dev/drupal#131 Ensure that the General class exists

Merge pull request #18061 from seamuslee001/5274_notes

[NFC] 5.27.4 Release Notes

Merge pull request #18062 from eileenmcnaughton/error_juice

Improve error handling on IPN

Improve error handling on IPN

https://civicrm.stackexchange.com/questions/37277/paypal-standard-payments-are-being-accepted-but-marked-as-incomplete-transaction/37279#37279

shows how unhelpful this error is - getting data from the exception should help.

Targetting 5.28 in case the gitlab relates to a regression & we need to solicit more debug info

release-notes.md - Small copy-edits

Add release-notes/5.27.4.md

Merge pull request #18053 from seamuslee001/test_ports

[NFC] Port some recent test fixes from master to 5.28

(REF) WebsiteTest - Mitigate flaky failures

Overview
--------

In recent days, api_v3_WebsiteTest has emitted sporadic failures like this:

```
api_v3_WebsiteTest::testDeleteWebsite with data set #0 (3)
Failed asserting that 3 matches expected 0.

/home/jenkins/bknix-max/build/build-2/web/sites/all/modules/civicrm/tests/phpunit/api/v3/WebsiteTest.php:75
/home/jenkins/bknix-max/build/build-2/web/sites/all/modules/civicrm/tests/phpunit/CiviTest/CiviUnitTestCase.php:209
/home/jenkins/bknix-max/extern/phpunit7/phpunit7.phar:615
```

and

```
api_v3_WebsiteTest::testDeleteWebsiteInvalid with data set #0 (3)
Failed asserting that 4 matches expected 1.

/home/jenkins/bknix-max/build/build-2/web/sites/all/modules/civicrm/tests/phpunit/api/v3/WebsiteTest.php:88
/home/jenkins/bknix-max/build/build-2/web/sites/all/modules/civicrm/tests/phpunit/CiviTest/CiviUnitTestCase.php:209
/home/jenkins/bknix-max/extern/phpunit7/phpunit7.phar:615
```

These failures do not reproduce for me in isolation.

Before
------

Both the failing assertions make an implicit assumption that the baseline content of `civicrm_website` is empty.

After
-----

The failing assertions use an explicit baseline (`$beforeCount`).

Comments
--------

The test failures are sporadic and only seem to seem occur when run in the full suite.

My theory is that something else is leaking `civicrm_website` records;
however, it's hard to track that down amidst a full suite (when the full
suite takes so long to execute).  Therefore, I cannot be certain that this
is actually fixes the problem.  However, this really just tightens up the
assumptions of the test - as long as it passes the PR tests, it should be
safe to merge and then watch in the `CiviCRM-Core-Matrix`.

Fix for failing test

BY ensuring join_date is in the past we get away from situations where there is no valid status

re-re-fix test

Re-fix test

The strtotime calculation adds 4 months before setting the day of month. However

July 31 + 4 months is 1 Dec - ie the month is 12 not 11 due to there being only 30 days. So to
get 27 Nov we need to get the July month (7) and add 4 and voila 11, not 12

update failing test

make test less time-sensitive

api_v3_TaxContributionPageTest fix - remove hard coded processor id

Merge pull request #18017 from seamuslee001/dev_mail_72

dev/mail#72 Remove call to custom fatal error handler from CRM_Core_E…

dev/mail#72 Remove call to custom fatal error handler from CRM_Core_Error::debug_log_message

Merge pull request #18011 from totten/5.28-tbl

FiveTwentyEight - Provide concrete details about civicrm.files

FiveTwentyEight - Provide concrete details about civicrm.files

This hopefully makes it easier to decide what to do without needing a
scavenger hunt.

Merge pull request #17983 from kcristiano/5.28-wp-notices

dev/wordpress/66  Add Upgrade Notice regarding legacy paths

Merge pull request #17868 from seamuslee001/remove_civicrm_files_override

[REF] Remove civicrm.files override for WordPress to fix issues with…

dev/wordpress/66  Add Upgrade Notice regarding legacy paths

Signed-off-by: Kevin Cristiano <kcristiano@kcristiano.com>

Merge pull request #17973 from seamuslee001/ref_profile_date_fields

[REF] Fix regression where adding any date based field onto a profile…

[REF] Fix regression where adding any date based field onto a profile triggers an error date preferences not configured when previewing the profile

Merge pull request #17960 from demeritcowboy/contribution-default

dev/core#1911 - Default not being set for fixed contribution amounts or any price field that is not type text

default not being set for price fields

Merge pull request #17947 from agh1/dev-core-1899-5-28

dev/core#1899 specify display mode for action links with icons

dev/core#1899 specify display mode for action links with icons

Merge pull request #17929 from demeritcowboy/required-not-5.28

dev/core#1903 - Avoid E_WARNING and remove code

avoid E_WARNING and remove code

Merge pull request #17925 from seamuslee001/5.28

Add release-notes/5.27.3

Add release-notes/5.27.3

Merge pull request #17906 from seamuslee001/lab_core_1846

dev/core#1846 Make DAO upgrade safe

Fix failing settingTest and mark setting.fill as deprecated

The settingTest class was being too aggressive about creating and deleting domains,
this teaches it to not delete pre-existing domains.
Also marks an old unused api function deprecated.

Add upgrade-safe DAO::getSupportedFields method

Switches api v3 and v4 to use that method so they are upgrade-safe by default.