General code safety: validate input and escape SQL strings in common_relative_profile()

Use Nickname::DISPLAY_FMT instead of manual regex fragments in router setup for nickname parameters.

Replace a couple plugin usages of NICKNAME_FMT with Nickname::normalize()

Add Nickname test cases for @-reply regexes in common_find_mentions

Nickname class to encapsulate validation & common regexes for nickname formats.
This provides initial infrastructure for decoupling display names from internal canonical names, but continues to have us storing and using the canonical forms.

It should be/become possible to provide mixed-case and underscore-containing names in links, @-mention, !-group, etc, but we don't store those alternate forms generally.

Work in progress on nickname validation changes. lib/nickname.php appears to have been destroyed by NetBeans and will be rewritten shortly. Sigh.

doc comments on User::allowed_nickname

Start on some nickname-validation test cases: several of these fail right now because we had regressions in 0.8 or 0.9 where we lost normalization of uppercase and some other chars.

Add some doc comments on nickname-related stuff in util.php

Net URL Mapper Path plex file

Net_URL_Mapper 0.9.1

Merge remote branch 'gitorious/0.9.x' into 0.9.x

Make OStatusPlugin define push feed rel

Make userxrd work without OStatus enabled

Make userxrd part of the default hostmeta

Move user xrd action to core and use hooks to extend

Moved the Webfinger user XRD action from the OStatus plugin to core.
Added hooks to add OStatus-specific stuff, but kept general stuff in
the core.

move xrd and hostmeta out of the OStatus plugin and into core
add event for setting up hostmeta, and use them in the OStatus plugin

Update util.min.js for attachment preview on Firefox, Chrome

Preview thumbnails of uploaded image attachments before posting on supporting browsers.

Tested working so far:
* Firefox 3.6 and 4.0 (FileReader -> data URL)
* Chrome 8 (createObjectURL; FileReader also works)

Tested with limited support:
* Safari 5.0.3 (no preview, but we can show type and size)

Tested and known not to support FileAPI, keeps current behavior:
* Opera 11 beta

Add LogFilter plugin: quickie way to filter out/in log output based on priority or keyword matches. Should be helpful for folks who can't easily adjust their syslog filtering.

logging tweak for Twitter status ID issue

Fixes for Twitter bridge breakage on 32-bit servers. New "Snowflake" 64-bit IDs have become too big to fit in the integer portion of double-precision floats, so to reliably use these IDs we need to pull the new string form now.
Machines with 64-bit PHP installation should have had no problems (except on Windows, where integers are still 32 bits)

FacebookBridge - fail gracefully if the user has already deleted a
linked notice on Facebook.

Merge branch 'master' into 0.9.x

Fixes for delete_status_network.sh:
* add some sanity checking: abort on failures instead of plodding through
* add some progress / error output
* fetch the target database server name from the status_network entry and use that to target the DROP DATABASE

Note that database names and other overrides in status_network entry may still not be seen.

Merge branch 'master' into 0.9.x

Fix ticket #2700: some numeric IDs were misinterpreted as hex numbers instead of strings when '0x123' passed in.

Switched from is_numeric() to a custom self::is_decimal() which is more strict.
This makes our behavior match Twitter's API a bit better, so eg this:

  http://identi.ca/api/statuses/home_timeline/0x6d686b.xml

should now be equivalent to:

  http://identi.ca/api/statuses/home_timeline.xml?screen_name=0x6d686b

instead of:

  http://identi.ca/api/statuses/home_timeline.xml?user_id=7170155

Merge branch 'master' into 0.9.x

Ticket #2724: gracefully handle attempts to delete or fave/unfave a remote Twitter notice if a failure occurs.

Most annoying error case being where the notice was already faved or deleted on Twitter! :)
Such errors will now just fail out and log a note to the syslog -- the rest of what we were doing will continue on unhindered, so you can still delete, favorite, etc and it just won't sync the info over in that case.

Merge branch 'master' into 0.9.x

Ticket #2796: don't allow arbitrary overriding of the 'action' class and other parameters pulled from the URL mapper.

This protects against oddities such as manual invocation of the ClientError action, which can spoof error messages.

Ticket #2797: replace addslashes() with explicit escape calls on the DB objects

Merge branch 'master' into 0.9.x

Ticket #1987: support since_id on API notice search methods.

max_id is not yet implemented, as it'll need support added to the search backends. (since_id we get 'for free' by just cropping off the list, it'll do for now)

Merge branch 'master' of gitorious.org:statusnet/mainline into 0.9.x

Ticket #2441: fix deletion of avatars when a profile is deleted.

Code was doing a batch call to $avatar->delete() which fails to properly engage the file deletion code. Calling the existing profile->delete_avatars() function deletes them individually, which makes it all work nice again.

Drop PEAR HTTP_Request library -- no longer used since Services_oEmbed was dropped.

(HTTP_Request2 is separate and is widely used. Net_URL is also used separately by Net_URL_Mapper.)

Merge branch 'master' of gitorious.org:statusnet/mainline into 0.9.x

Ticket #2899: clean up inbox/outbox DM form a bit:
- "To" drop-down list now defaults to showing "Select recipient:" instead of the first person on your list, reducing liklihood of accidentally sending a message to the wrong person.
- When there are no mutual subscribers to send to, instead of an empty list the list now shows 'No mutual subscribers.'

In both cases, attempting to send when the default is selected displays an error message.
I'm not disabling form elements in part because our themes right now don't show disabled button state correctly; we might want to tighten that up a bit more once fixed.

Merge branch 'master' of gitorious.org:statusnet/mainline into 0.9.x

Automatically make Facebook admin panel available if the FacebookBridge
plugin is installed.

scripts/deletegroup.php -- basic CLI script to delete a group by id or local nickname. Like deleteuser.php, this can be used in batch runs by providing the -y override.

Fix regression in PopularNoticeSection: tag parameter was broken, causing sidebar on tag pages to show untagged favorites.

Facebook: Add needed perms to plain login URL

Fix name of Facebook Bridge plugin

Merge branch '0.9.x' of gitorious.org:statusnet/mainline into 0.9.x

Partial fix for tickets #2194, #2393: Workaround for Meteor breaking AJAX error responses returned on posting new notices. Fixes things in Firefox 4, but Safari 5 and Chrome 8 still don't return data... either on success or failure! Sigh.

The Meteor realtime plugin sets document.domain to the common prefix between the main server and the Meteor server's hostnames, which overrides the same-origin controls on JavaScript DOM access so the two parts of the app can speak to each other.
This unfortunately causes "fun" side effects for XMLHTTPRequest access to the main domain... if the new domain doesn't match the actual host (eg 'status.net' instead of 'brion.status.net') then we can't access the XHR's responseXML attribute, which holds a DOM tree of the parsed XML return data.
As a workaround, if we can't get at the contents there, we'll parse a fresh DOM tree in the local context from the responseText property, which remains available.

In the longer term, recommend retooling the realtime stuff so it's not fiddling with document.domain. It could also be an issue as it could allow local JavaScript XSS attacks to migrate to subdomains in other open windows.

Merge branch '0.9.x' of git@gitorious.org:statusnet/mainline into 0.9.x

Remove dumb debugging statement

Facebook: Gracefully handle disconnection

Add $config['attachments']['process_links'] to allow disabling processing of mentioned URL links for attachment info (oEmbed lookups) and dereferencing of redirects that we didn't have shortened ourselves.

This option may be useful for intranet sites that don't have direct access to the internet, as they may be unable to successfully fetch those resources.

include full updated source of JSON2 and use updated minified version

use minified version of jquery.cookie.js

use minified version of jquery.form.js

upgrade jquery.form.js

use minified version of meteorupdater.js

use minified version of realtime.js

Merge branch '0.9.x' into minifyjs

move EndScriptMessages event into if block

Use minified version of util.js

upgrade to JQuery 1.4.4

Use session token protection on oEmbed proxy action for LinkPreview... and commit the file *sigh*

LinkPreview: clear preview thumbnails & data on form submission/reset

Less redrawing of bits in the link thumbnail preview

LinkPreview: restructure to make it easier to keep old link data

LinkPreview: use a local proxy for oEmbed lookups so we use a consistent common code path, and don't open up to oohembed.com being evil

LinkPreview: restructure a bit so we can pass config over

LinkPreview: piggyback on the counter update logic, cache lookups.

LinkPreview: link the thumbnails

LinkPreview plugin more or less functioning (though not pretty), using oohembed remote lookup and fixed sizes.

LinkPreview: flesh out stub JS code a bit. URL splitting doesn't quite match core, note.

Stub LinkPreview plugin

Merge branch 'master' into 0.9.x

Ticket 2895: exclude silenced users from popular notice lists

Prep for ticket #2895: consolidate common code from PopularNoticeList and FavoritedAction for fetching popular notice lists

Fix syntax error

Store the current user in the CurrentUserDesignAction

FacebookSSO -> FacebookBridge

Merge branch '0.9.x' into facebook-upgrade

- Map notices to Facebook stream items
- rename plugin FacebookBridgePlugin
- delete/like/unlike notices across the bridge

Merge branch 'master' into 0.9.x

Forgot to commit the JS for ModPlus. :)

Merge branch 'master' of gitorious.org:statusnet/mainline into 0.9.x

visual cleanup on ModPlus remote profile info popup menu

Tweak remote profile action: hide stats from sidebar, tweak wording on remote notice

RemoteProfileAction cleanup:
- meta robots to prevent spidering
- a little notice if silenced

visual tweaks for RemoteProfileAction

RemoteProfileAction: redirect to the regular user profile page if given a local user.

Workaround for display of Twitter remote users in remoteprofile (ModPlus plugin): use 73px avatar if no 96px present

Stub RemoteprofileAction to show the standard profile header stuff for offsite users -- provides a way to get at the mod & block controls for remote users.

some User -> Profile cleanup to help in adapting the profile page action to show stuff for remote users. Subscriptions, groups, roles, etc are all on profiles now so go ahead and use em.

Stub ModPlus plugin: will hold experimental UI improvements for mod actions

Merge branch 'master' of gitorious.org:statusnet/mainline into 0.9.x

clear_jabber.php script to clear confirmed jabber/xmpp addresses from one or more accounts

Add some data integrity checks on oembed tests (shows a bug on identi.ca test case -- missing width/height in photo data)

Include width/height of locally-uploaded images in our oembed provider data for attachment pages.

restore empty showFallback() for attachment display; still needed for one-offs

Merge branch '0.9.x' of gitorious.org:statusnet/mainline into 0.9.x

Drop PEAR Services_oEmbed -- ended up replaced by our oEmbedHelper wrapper. The extra validation available there is problematic, and their code for building HTML for us wasn't being used anyway.

Test oEmbed lookups with oohembed both on and off explicitly