Fix rebase

Force membership auto-renew on by default

corrected class name in old FSF code

https://rt.gnu.org/Ticket/Display.html?id=1330057

Use proxy to look for civicrm updates, fixes RT#1314844

Correct path to john's signature

Corrected call to commonCompose

We were using a deprecated wrapper for that function:
https://github.com/civicrm/civicrm-core/commit/187007a3dbd33bde08b0b4f54feff8c71ea2a065

removed an old stray sql file

Corrected thankyou template, see RT#1286518

BIG HACK: Corrected frequency calculation for new members

updated function documentation

revert commit that modified getRecurDetails()

we aren't quite sure what this was supposed to do, but this patch was
breaking our site, and it now works with these changes reverted.

This version of the TC code is no longer in use

the code in org.fsf.payment.trustcommerce was used, and will continue to
be used for the time being.

corrected variable name

this code was moved from another location during a git rebase, and the a
variable name needed to change.

Sort by country,second_name,first_name for pdf generation of international mailings

(change currently disabled / commented out -- sudoman)

Disable recipient estimation on mailings

Corrected TeX ligatures for pdf letters

Filter groups according to included profiles

This is a continuation of the contact groups filtering feature, which
allows admins to filter the public listings of contact groups on various
Civi pages by setting a Drupal variable with drush.

It is now possible to set a rule for a profile and for that rule to
automatically apply to standalone profile pages, contribution pages that
include the profile, and event pages that include it as well.

See comments in CRM/Contact/Form/Edit/TagsAndGroups.php for instructions
on how to set the variable via drush.

Allow admin to change the names of filtered groups

This feature lets one mimic a custom field by allowing admins to change
the text that appears next to each group's check box, via drush.

The json format is a bit more nested, but indented json can be used. An
exmple is included in CRM/Contact/Form/Edit/TagsAndGroups.php.

Groups filter hack for smaller groups listings

This change is a dirty hack that lets site admins filter the "Contacts
Group(s)" field output in select profiles. This reduces overwhem for
users when they are making a donation or filling out a form with the
Groups signup field. This is preferable to using a custom field with
smart groups because the Groups field provides double opt-in, while
custom fields do not.

The filter is controlled via a json string stored in a drupal variable
that can be set with drush like so:

drush vset --format=string groups_field_filters "{...}"

See the documentation marked with "sudoman hack" in
CRM/Contact/Form/Edit/TagsAndGroups.php for an example.

remove unneeded file not deleted in git rebase

remove unneeded file (latex.patch)

this was apparently not removed in the git rebase.

Comment cleanup

Updated the LaTeX header for letters

Added hack for scaping curly brackets on smarty LaTeX templates

Tuned up PdfLatex font settings

Solving RT ticket #1092988
adding civicrm ID to contributin record

reverted js changes back to upstream

ipn receiver for external api

Priceset 2nd half

Priceset/debugwatchdog

Removed cache rebuild from the GroupContact

RT#765026, patch for null values in civicrm_acl_cache

Added the current uncommited changes to production code, and rebased to 4.6.8

Additional files for PDF/Latex

Rebase including LibreJS change

Merge pull request #18202 from totten/5.28-bump2

Set version 5.28.2

Merge pull request #18201 from seamuslee001/5.28

(dev/core#1846) Container, ClassLoader Caches - Separate caches by ve…

Add release-notes/5.28.2.md

Set version to 5.28.2

(dev/core#1846) Container, ClassLoader Caches - Separate caches by version number

Before
------

If you load a new version of the CiviCRM codebase, then a freshness check
should cause the container cache to reset automatically (based on the fact
that various files have new timestamps).

However, it's possible that some kind of bug or omission prevents this from working.
Many developers won't notice such a bug because they're obsessive-compulsive
about clearing caches anyway.

After
-----

If you load a new version of the CiviCRM codebase, then it should use a new
container cache - regardless of how well the freshness check works.

Merge branch '5_28_1_release_notes' into 'security-fixes'

5 28 1 release notes

See merge request security/core!127

Copy-edits for 5.28.1.md

Add in release notes for 5.28.1

Set version to 5.28.1

security/core#95 Purify Summary and description fields for events on the event info and event cart screens

security/core#96 Escape the profile description field

Apply edit groups permission check to the button not the generaal permissionedForGroup check

[REF] Only show button to edit smart group if user has permissions

Security/core#61 Limit Access to update smart group task to only if the logged in user has edit groups permission.

Put a permission restriction on loading page without manage groups permission when saved search id is specified in the URL

security/core#94 Escape subject content when loading the Activity list for a contact

Fix auto-refresh of CKEditor configurator form

Convert CK Config form to quickform

CKEditor Config - Validate input before saving config file

Also removes support for 'customConfig' supplimental file.

CRM_Utils_JS - Improve validation of strings

Runs strings through json_decode to ensure they are valid.
Optionally throws an exception on error.

security/core#78 Purify HTML of activity details field when viewing the activity

CRM_Core_Key - Strengthen signature algorithm

This alters the qfKey signature algorithm, with a few aims:

1.  If someone wants to perform a brute-force to figure the per-session
    private-key, we want it go slow.  Therefore, use a slower hash (ie
    HMAC-SHA256 instead of MD5).

2.  If someone performs a timing attack aimed at figuring a passable qfKey,
    the execution-time for `validate()` should not provide any hints.

3.  If someone finds a way to manipulate one of the constituent parts
    ($sessionID, $name, $privateKey), we want it to be hard to create a
    collsion. So... (a) Use HMAC instead of a vanilla hash. (b) Use delimiters
    between the data sections ($sessionID, $name).

CRM_Core_Key - Improve entropy of "privateKey"

In PHP 4/5, there was no good, universal source of entropy.  The old code
mitigated this by aggregating mediocre sources.  On my system, it appears
to be roughly:

* 2^31 for each `mt_rand()`
* 10^8 =~ 2^26 for each `uniqid(...TRUE)` (after discounting the non-random right half of the uniqid).

So that's ~114 bits (albeit low-quality bits).

In PHP 7, the docs describe `random_bytes()` as "generat[ing] cryptographically secure pseudo-random bytes."

Additional code from Drupal's implementation

Update to use code from Drupal's patch

Patch jQuery for CVE-2020-11022 and CVE-2020-11023

security/core#81 Escape html in CRM_Core_LegacyErrorHandler messages

security/core#74 Prevent CSRF in CKEditor Config screen by switching to using Quickform built form

Merge pull request #18191 from seamuslee001/5.28

dev/core#1945 Fix recur access regression

dev/core#1945 Fix recur access regression

Merge pull request #18167 from seamuslee001/5.28

cvv required html attribute should depend on backoffice setting

required

Merge pull request #18164 from seamuslee001/5.28

[REF] Remove unnecessary comma

[REF] Remove unnecessary comma

Merge pull request #18152 from seamuslee001/dev_core_1952_528

dev/core#1952 Remove uncessary component checking when exporting all …

dev/core#1952 Remove uncessary component checking when exporting all activities

Merge pull request #18145 from seamuslee001/dev_core_1953_28

dev/core#1953 Ensure that Contribution pages do not fail validation o…

dev/core#1953 Ensure that Contribution pages do not fail validation on credit cards when a zero dollar price is offered

Merge pull request #18129 from seamuslee001/5.28

dev/core#1934 fix regression on merging contacts with settings using …

dev/core#1934 fix regression on merging contacts with settings using contact_id

This is an interim fix to a reported regression. I'll look at more carefully in master when time permits

Merge pull request #18127 from seamuslee001/dev_core_1936_528

dev/core#1936 Make the label column on price_field_value table not re…

dev/core#1936 Make the label column on price_field_value table not required

Merge pull request #18099 from seamuslee001/5.28

[REF] Fix jquery validation for on behalf of fields when combined wit…

[REF] Fix jquery validation for on behalf of fields when combined with a preimum

Set version to 5.28.0

Merge pull request #18083 from totten/5.28-rn

(NFC) 5.28.0.md - Describe last minute PR. Random copyedits.

5.28.0.md - Describe last minute PR. Random copyedits.

Merge pull request #18079 from eileenmcnaughton/528

dev/core#1930 fix for move-related checkbox being overridden to true …

dev/core#1930 fix for move-related checkbox being overridden to true in form

Merge pull request #18074 from agh1/5.28.0-releasenotes-final

5.28.0 release notes final edits

5.28.0 release notes: added late changes

5.28.0 release notes: misc edits

Merge pull request #18070 from seamuslee001/dev_core_1927

dev/core#1927 Ensure that the contents of the database table are fixe…

dev/core#1927 Ensure that the contents of the database table are fixed up before changing the column type

Merge pull request #18066 from seamuslee001/dev_drupal_131

dev/drupal#131 Ensure that the General class exists

dev/drupal#131 Ensure that the General class exists

Merge pull request #18061 from seamuslee001/5274_notes

[NFC] 5.27.4 Release Notes

Merge pull request #18062 from eileenmcnaughton/error_juice

Improve error handling on IPN

Improve error handling on IPN

https://civicrm.stackexchange.com/questions/37277/paypal-standard-payments-are-being-accepted-but-marked-as-incomplete-transaction/37279#37279

shows how unhelpful this error is - getting data from the exception should help.

Targetting 5.28 in case the gitlab relates to a regression & we need to solicit more debug info

release-notes.md - Small copy-edits

Add release-notes/5.27.4.md

Merge pull request #18053 from seamuslee001/test_ports

[NFC] Port some recent test fixes from master to 5.28

(REF) WebsiteTest - Mitigate flaky failures

Overview
--------

In recent days, api_v3_WebsiteTest has emitted sporadic failures like this:

```
api_v3_WebsiteTest::testDeleteWebsite with data set #0 (3)
Failed asserting that 3 matches expected 0.

/home/jenkins/bknix-max/build/build-2/web/sites/all/modules/civicrm/tests/phpunit/api/v3/WebsiteTest.php:75
/home/jenkins/bknix-max/build/build-2/web/sites/all/modules/civicrm/tests/phpunit/CiviTest/CiviUnitTestCase.php:209
/home/jenkins/bknix-max/extern/phpunit7/phpunit7.phar:615
```

and

```
api_v3_WebsiteTest::testDeleteWebsiteInvalid with data set #0 (3)
Failed asserting that 4 matches expected 1.

/home/jenkins/bknix-max/build/build-2/web/sites/all/modules/civicrm/tests/phpunit/api/v3/WebsiteTest.php:88
/home/jenkins/bknix-max/build/build-2/web/sites/all/modules/civicrm/tests/phpunit/CiviTest/CiviUnitTestCase.php:209
/home/jenkins/bknix-max/extern/phpunit7/phpunit7.phar:615
```

These failures do not reproduce for me in isolation.

Before
------

Both the failing assertions make an implicit assumption that the baseline content of `civicrm_website` is empty.

After
-----

The failing assertions use an explicit baseline (`$beforeCount`).

Comments
--------

The test failures are sporadic and only seem to seem occur when run in the full suite.

My theory is that something else is leaking `civicrm_website` records;
however, it's hard to track that down amidst a full suite (when the full
suite takes so long to execute).  Therefore, I cannot be certain that this
is actually fixes the problem.  However, this really just tightens up the
assumptions of the test - as long as it passes the PR tests, it should be
safe to merge and then watch in the `CiviCRM-Core-Matrix`.

Fix for failing test

BY ensuring join_date is in the past we get away from situations where there is no valid status

re-re-fix test

Re-fix test

The strtotime calculation adds 4 months before setting the day of month. However

July 31 + 4 months is 1 Dec - ie the month is 12 not 11 due to there being only 30 days. So to
get 27 Nov we need to get the July month (7) and add 4 and voila 11, not 12