Escape argument to prevent SQL injection attack in
User::getTaggedSubscriptions()

This change escapes the $tag argument to prevent a SQL injection
attack in User::getTaggedSubscriptions(). The parameter was not
escaped higher up the stack, so this vulnerability could be exploited.

Escape argument to User::getTaggedSubscribers() to preven SQL injection

This change escapes the argument to User::getTaggedSubscribers() to
prevent SQL injection attacks.

Both code paths up the stack fail to escape this parameter, so this is
a potential SQL injection attack.

Escape query parameters in Profile_tag::getTagged()

This patch escapes query parameters in Profile_tag::getTagged(). This
is an extra security step; since these parameters come out of the
database, it's unlikely that they would have dangerous data in them.

Escape SQL parameter in Profile_tag::moveTag()

This change adds additional escapes for arguments to
Profile_tag::moveTag(). The arguments are canonicalized in the API and
Web UI paths higher up the stack, but this change makes sure that no
other paths can introduce SQL injection errors.

Escape $tag passed to Profile::getTaggedSubscribers()

This patch escapes the $tag parameter in
Profile::getTaggedSubscribers(). The parameter is not escaped either
in actions/subscriptions.php or in actions/apiuserfollowers.php. So
there is a potential for SQL injection here.

Potential SQL injection in Local_group::setNickname()

This change escapes a parameter in Local_group::setNickname(). Review
of the code paths that call this function sanitize the parameter
higher up the stack, but it's escaped here to prevent mistakes later.

Note that nickname parameters are normally alphanum strings, so
there's not much danger in double-escaping them.

Squashed commit of the following:

commit bd23a7da105d635414643dfcedd9c8f710d565b8
Author: Evan Prodromou <evan@e14n.com>
Date:   Sat Jun 29 07:49:03 2013 -0400

    Make the after flag work correctly

commit 5c5845a2f866f0bbffedd8e2e5d1f512f87d5329
Author: Evan Prodromou <evan@e14n.com>
Date:   Sat Jun 29 06:14:43 2013 -0400

    Add an 'after' flag for backup script

Merge branch '1.1.x' of gitorious.org:statusnet/mainline into 1.1.x

Better output for shares

Merge commit 'merge-requests/192' into statusnet_1.1.x

Fix introduced bug, trying to shorten an empty status.

Code cleaning. Do call shortenLinks only once, right before saving new notice.

Code cleaning, remove 'TEST' tags.

Notice update with media attachment may fail through API when status text + attachment length get higher than max notice length. Calling URL shortener can make global length less than maxlength, though allowing notice update.

Add configuration check. Need 'server', 'port', 'user' and 'password' to be defined (not valid, just defined).

Remove static definition of imdaemon.php as valid daemon.

Add basic support for GetValidDaemon event. Shall be extended with configuration check.

Remove alone 'groups' link on the left side. Useless I guess.

Add same CSS rules for #remoteprofile than for #showstream. Allows to hide avatars, like for local profiles.

Display notices for remote profile. Would like to hide avatar like in local profile but did not found how to do it.

Fix error 'No matches for action subscriptions with arguments nickname...' when displaying remote profile.

You need an API key when using embed.ly. Unfortunatly oembedhelper.php does not support it. This commit aims to fix it.

Bookmark plugin enhancement: display Bookmark's list. Integration of @chimo's work (http://http://sn.chromic.org/) from https://github.com/chimo/BookmarkList into official plugin.

Better ID for notice activity

Fix for #3649 issue.

Fix for #3651: oAuth apps list does only show the latest registered application

Get rid of t.co links for notice's text version. Usefull for client using API. Complements merge-request #205 by @mmn

Replace t.co links with expanded one provided by Twitter. Can still be a shortened one & will be done only for HTML view, but still a start. Backport of merge_requests/205.

Bad variable in ActivityObject::fromMessage()

Bad variable in Message::asActivity()

Use the link property for the URL, not the ID

Add direct messages to backup

Store direct messages as an activity

Some more well-known sources from plugins

Add generator to JSON output

Some better context for notices as arrays

Coerce width, height of media link to integer

Fix the switch on type

Better type check, better URL

Better URL creation for attachments

Better handling of null values in ActivityObject::mimeTypeToObjectType

Use real attachments for JSON output

Don't set the title of a notice to its plain-text content.

Don't add content as title for notes

Change geopoint to location

Remove duplicate of extensions

Use status_net, portablecontacts_net namespaces

Slightly better ActivityStreams JSON output

Use better type, title for service

Add the service type for activity objects

Better handling of multiple objects

Better registrationActivity

Only a single object in activitystrea.ms JSON output

Add an ID to registered service

Add a registration activity to the end of every backup

Merge branch '1.1.x' of gitorious.org:statusnet/mainline into 1.1.x

Conflicts:
lib/useractivitystream.php

Close the collection object

Correctly output commas for JSON backups

Add JSON output for backups

Throw an exception converting fave to activity for non-existent notice or profile

More aggressively avoid OOM errors in useractivitystream

Don't abort if an activity throws an exception when backing up

Make optional arguments for getNoticeIds explicit

Merge remote-tracking branch 'origin/1.1.x' into 1.1.x

Makes TwitterBridge plugin use Twitter API 1.1 instead of API 1 which is deprecated and will be switched off soon

Make TwitterBridge plugin use Queueing system

Add Twitter mention import support

mrb reported 417 Expectation failed errors due to now commented line

Merge branch '1.1.x' of gitorious.org:statusnet/mainline into 1.1.x

Don't show big invite button if invites are disabled

Merge commit 'refs/merge-requests/182' of gitorious.org:statusnet/mainline into 1.1.x

Merge commit 'refs/merge-requests/181' of git://gitorious.org/statusnet/mainline into statusnet_1.1.x

Merge remote-tracking branch 'statusnet/180' into statusnet_1.1.x

Don't send @-reply notification if the mentioned person has blocked the sender

Squashed commit of the following:

commit 2b9bce9ef8f6cf55b7ac62231bcc0173260ba472
Merge: 3ba4f24 12b680e
Author: Evan Prodromou <evan@status.net>
Date:   Mon Aug 13 14:31:46 2012 -0400

    Merge commit 'refs/merge-requests/207' of git://gitorious.org/statusnet/mainline into merge-requests/207

commit 12b680e375db9de01cac77dd9a71adb729292dc7
Author: Mikael Nordfeldth <mmn@hethane.se>
Date:   Fri Aug 10 20:49:52 2012 +0200

    testing whether $user is predefined before otherwise setting it to common_current_user()

Issue 3401, ostatus group subscription lands on blank page

Merge branch '1.1.x' of gitorious.org:statusnet/mainline into 1.1.x

Squashed commit of the following:

commit f4503f30226fee59160600b5c9b81afc6b610a9d
Merge: 75f3b4e f10e48c
Author: Evan Prodromou <evan@status.net>
Date:   Mon Jul 9 09:45:10 2012 -0400

    Merge commit 'refs/merge-requests/194' of git://gitorious.org/statusnet/mainline into merge-requests/194

commit f10e48c361d91ab02efc5577254e1dad3b1dcebe
Author: Mikael Nordfeldth <mmn@hethane.se>
Date:   Thu Jul 5 14:28:30 2012 +0200

    multiGet returns a correct Notice object for the fetchAll in NoticeList

Squashed commit of the following:

commit cd43ac412c90722e3b83ec750d9232a2ac2f12c9
Merge: dad72cc adaf175
Author: Evan Prodromou <evan@status.net>
Date:   Mon Jul 9 09:41:05 2012 -0400

    Merge commit 'refs/merge-requests/196' of git://gitorious.org/statusnet/mainline into merge-requests/196

commit adaf17552d3ab35d451c00cdb32d87a107e0e56a
Author: Jeremy Pope <jpope@jpope.org>
Date:   Thu Jul 5 12:33:06 2012 -0500

    fix for XMPP high CPU usage - issue no 3232

commit e573e8ee6690af94259ff8793a84652a139d0662
Author: Jeremy Pope <jpope@jpope.org>
Date:   Thu Jul 5 12:30:34 2012 -0500

    fix for queuedaemon and imdaemon not being stopped by stopdaemons.sh

Remove Jabber stuff from Twitter daemon

Release date

Merge branch '1.1.x' of gitorious.org:statusnet/mainline into 1.1.x

Use the current logged-in use for home timeline

Localisation updates from http://translatewiki.net.

Localisation updates from http://translatewiki.net.

Remove i18n for space.
Remove trailing whitespace.

Localisation updates from http://translatewiki.net.

Merge branch '1.1.x' of gitorious.org:statusnet/mainline into 1.1.x

Skip on already-exists error

Localisation updates from http://translatewiki.net.

Localisation updates from http://translatewiki.net.

Localisation updates from http://translatewiki.net.

MIME type for jpeg is with an e

adding the odd but reported Twitter avatar .jpeg file extension

retaining compatibility with previous TwitterBridge getMediatype

Fixes issue #3612 with Twitter avatars that lack extension

Localisation updates from http://translatewiki.net.

Chance to train unknown

Added lost define reported in issue 3605 (GROUPS_PER_PAGE)

Localisation updates from http://translatewiki.net.