Prevent blocked users from performing revision deletion
[mediawiki.git] / RELEASE-NOTES-1.27
blobdaa1b8f48ee76727469b35e590b2d47afe368d7e
1 Security reminder: If you have PHP's register_globals option set, you must
2 turn it off. MediaWiki will not work with it enabled.
4 == MediaWiki 1.27 ==
6 THIS IS NOT A RELEASE YET
8 MediaWiki 1.27 is an alpha-quality branch and is not recommended for use in
9 production.
11 === Configuration changes in 1.27 ===
12 * $wgUseLinkNamespaceDBFields was removed.
13 * Deprecated $wgResourceLoaderMinifierStatementsOnOwnLine and
14   $wgResourceLoaderMinifierMaxLineLength, because there was little value in
15   making the behavior configurable. The default values (`false` for the former,
16   1000 for the latter) are now hard-coded.
17 * $wgDebugDumpSqlLength was removed (deprecated in 1.24).
18 * $wgDebugDBTransactions was removed (deprecated in 1.20).
19 * $wgUseXVO has been removed, as it provides functionality only used by
20   custom Wikimedia patches against Squid 2.x that probably noone uses in
21   production anymore. There is now $wgUseKeyHeader that provides similar
22   functionality but instead of the MediaWiki-specific X-Vary-Options header,
23   uses the draft Key header standard.
24 * $wgScriptExtension (and support for '.php5' entry points) was removed. See the
25   deprecation notice in the release notes for version 1.25 for advice on how to
26   preserve support for '.php5' entry points via URL rewriting.
27 * Password handling via the User object has been deprecated and partially
28   removed, pending the future introduction of AuthManager. In particular:
29 ** expirePassword(), getPasswordExpireDate(), resetPasswordExpiration(), and
30    getPasswordExpired() have been removed. They were unused outside of core.
31 ** The mPassword, mNewpassword, mNewpassTime, and mPasswordExpires fields are
32    now private and will be removed in the future.
33 ** The getPassword() and getTemporaryPassword() methods now throw
34    BadMethodCallException and will be removed in the future.
35 ** The ability to pass 'password' and 'newpassword' to createNew() has been
36    removed. The only users of it seem to have been using it to set invalid
37    passwords, and so shouldn't be greatly affected.
38 ** setPassword(), setInternalPassword(), and setNewpassword() have been
39    deprecated, pending the introduction of AuthManager.
40 ** User::randomPassword() is deprecated in favor of a new method
41    PasswordFactory::generateRandomPasswordString()
42 ** User::getPasswordFactory() is deprecated, callers should just create a
43    PasswordFactory themselves.
44 ** A new constructor, User::newSystemUser(), has been added to simplify the
45    creation of passwordless "system" users for logged actions.
46 * $wgMaxSquidPurgeTitles was removed.
47 * $wgAjaxWatch was removed. This is now enabled by default.
48 * $wgUseInstantCommons now hotlinks Commons images by default instead of
49   downloading originals and thumbnailing them locally. This allows wikis to save
50   on CPU and bandwidth while reducing time to first byte for pages, even without
51   a thumbnail handler. See $wgForeignFileRepos documentation for tweaks.
52 * (T27397) WebP is enabled by default as an uploadable filetype.
53 * (T48998) $wgArticlePath must now be either a full url, or start with a "/".
54 * $wgRateLimitLog was removed; use $wgDebugLogGroups['ratelimit'] instead.
55 * Deprecated API formats dbg, txt, and yaml have been removed.
56 * CLDRPluralRule* classes have been replaced with wikimedia/cldr-plural-rule-parser.
57 * Removed $wgProfilePerHost, $wgUDPProfilerHost, $wgUDPProfilerPort,
58   $wgUDPProfilerFormatString, $wgStatsMethod, $wgAggregateStatsID, $wgStatsFormatString,
59   and $wgProfileCallTree (deprecated since 1.20).
60 * For proper operation of LocalIdLookup with shared user tables, ensure that
61   $wgSharedDB and $wgSharedTables are properly set even on the "central" wiki
62   that all others are sharing from and that $wgLocalDatabases is set to the
63   full list of sharing wikis on all those wikis.
65 === New features in 1.27 ===
66 * $wgDataCenterId and $wgDataCenterRoles where added, which will serve as
67   basic configuration settings needed for multi-datacenter setups.
68   $wgDataCenterUpdateStickTTL was also added.
69 * Added a new hook, 'UserMailerTransformContent', to transform the contents
70   of an email. This is similar to the EmailUser hook but applies to all mail
71   sent via UserMailer.
72 * Added a new hook, 'UserMailerTransformMessage', to transform the contents
73   of an emai after MIME encoding.
74 * Added a new hook, 'UserMailerSplitTo', to control which users have to be
75   emailed separately (ie. there is a single address in the To: field) so
76   user-specific changes to the email can be applied safely.
77 * $wgCdnMaxageLagged was added, which limits the CDN cache TTL
78   when any load balancer uses a DB that is lagged beyond the 'max lag'
79   setting in the relevant section of $wgLBFactoryConf.
80 * User::newSystemUser() may be used to simplify the creation of passwordless
81   "system" users for logged actions from scripts and extensions.
82 * Extensions can now return detailed error information via the API when
83   preventing user actions using 'getUserPermissionsErrors' and similar hooks
84   by using ApiMessage instances instead of strings for the $result value.
85 * $wgAPIMaxLagThreshold was added to limit bot changes when databases lag
86   becomes too high.
87 * Skins and extensions can now use FlexBox mixins (.flex-display(@display: flex)
88   and .flex(@grow: 1, @shrink: 1, @width: auto, @order: 1)) in Less to create
89   cross-browser-compatible FlexBox rules. Users will still need to add fallback
90   float rules or the like for compatibility with IE9- separately.
91 * Added MWTimestamp::getTimezoneString() which returns the localized timezone
92   string, if available. To localize this string, see the comments of
93   $wgLocaltimezone in includes/DefaultSettings.php.
94 * Added CentralIdLookup, a service that allows extensions needing a concept of
95   "central" users to get that without having to know about specific central
96   authentication extensions.
97 * $wgMaxUserDBWriteDuration added to limit huge user-generated transactions.
98   Regular web request transactions that takes longer than this are aborted.
99 * Added a new hook, 'TitleMoveCompleting', which runs before a page move is committed.
100 * $wgCdnReboundPurgeDelay was added to provide secondary delayed purges of URLs
101   from CDN to mitigate DB replication lag and WAN cache purge lag.
103 === External library changes in 1.27 ===
104 ==== Upgraded external libraries ====
105 * Updated oojs/oojs-ui from v0.12.12 to v0.13.3.
106 * Updated composer/semver from v1.0.0 to v1.2.0.
107 * Update liuggio/statsd-php-client to 1.0.18.
109 ==== New external libraries ====
110 * Added wikimedia/base-convert v1.0.1.
111 * Added wikimedia/cldr-plural-rule-parser v1.0.0.
112 * Added wikimedia/relpath v1.0.3.
113 * Added wikimedia/running-stat v1.1.0.
115 ==== Removed and replaced external libraries ====
117 === Bug fixes in 1.27 ===
118 * Special:Upload will now display correct maximum allowed file size when running
119   under HHVM (T116347).
121 === Action API changes in 1.27 ===
122 * Added list=allrevisions.
123 * generator=recentchanges now has the option to generate revids.
124 * ApiPageSet::setRedirectMergePolicy() was added. This allows generator
125   modules to define how generator data for a redirect source gets merged
126   into the redirect destination.
127 * prop=imageinfo&iiprop=uploadwarning will no longer include the possibility of
128   "was-deleted" warning.
129 * Added difftotextpst to query=revisions which preforms a pre-save transform on
130   the text before diffing it.
131 * Deprecated formats dbg, txt, and yaml have been removed.
132 * (T47988) The protect log event details now use new-style formatting.
133 * The following response properties from action=login are deprecated, and may
134   be removed in the future: lgtoken, cookieprefix, sessionid. Clients should
135   handle cookies to properly manage session state.
137 === Action API internal changes in 1.27 ===
138 * ApiQueryORM removed.
139 * The following classes have been removed:
140 ** ApiFormatDbg
141 ** ApiFormatTxt
142 ** ApiFormatYaml
143 * ApiQueryBase::getDirectionDescription is now marked as deprecated. It should
144   have been so marked since 1.25 when ApiBase::getParamDescription was
145   deprecated, but was overlooked at the time.
147 === Languages updated in 1.27 ===
149 MediaWiki supports over 350 languages. Many localisations are updated
150 regularly. Below only new and removed languages are listed, as well as
151 changes to languages because of Phabricator reports.
153 * (T113688) Change default numerals from Gurmukhi to Arabic for Punjabi locale.
155 === Other changes in 1.27 ===
156 * ProfilerOutputUdp was removed. Note that there is a ProfilerOutputStats class.
157 * WikiPage::doDeleteArticleReal() and WikiPage::doDeleteArticle() now
158   ignore the 2nd and 3rd arguments (formerly $id and $commit).
159 * Removed "loaderScripts" option from ResourceLoaderFileModule class.
160 * Removed ORM-like wrapper added in 1.20.
161 * LinkCache::getGoodLinks and LinkCache::getBadLinks were removed (deprecated in 1.26).
162 * WikiPage::doQuickEdit() was removed (deprecated since 1.21).
163 * Removed SiteObject and SiteArray classes (deprecated in 1.21).
164 * MessageBlobStore::getInstance() was removed (deprecated since 1.25).
165 * (T84937) Free external links ("autolinked" urls) will now be terminated
166   by &nbsp; and HTML entity encodings of &nbsp, <, and >.
167 * (T36948) The default file revert message's timestamp is now in $wgLocaltimezone,
168   instead of UTC.
169 * The default name of the 'suppress' group page has been changed from
170   'Project:Oversight' to 'Project:Suppress'.
171 * DatabaseBase::resultObject() is now protected (use outside Database classes
172   not necessary since 1.11).
173 * Calling ResourceLoaderFileModule::readStyleFiles() without a
174   ResourceLoaderContext instance is deprecated.
175 * ResourceLoader::getLessCompiler() now takes an optional parameter of
176   additional LESS variables to set for the compiler.
177 * wfBaseConvert() marked as deprecated, use Wikimedia\base_convert() directly instead.
178 * Obsolete maintenance scripts clearCacheStats.php and showCacheStats.php
179   were removed. The underlying data is sent to StatsD (see $wgStatsdServer).
180 * Removed msg_resource_links database table and associated code.
181 * Removed msg_resource database table and associated code.
182 * Skin::getNamespaceNotice() was removed.
183 * wfIsConfiguredProxy() was removed (deprecated since 1.24).
184 * wfDebugTimer() was removed (deprecated since 1.25).
185 * wfIsTrustedProxy() was removed (deprecated since 1.24).
186 * wfGetIP() was removed (deprecated since 1.19).
187 * MWHookException was removed.
188 * OutputPage::appendSubtitle() was removed (deprecated since 1.19).
189 * OutputPage::loginToUse() was removed (deprecated since 1.19).
190 * Article::loadContent() was removed (deprecated since 1.19).
191 * User::editToken() was removed (deprecated since 1.19).
192 * ApiQueryBase::titleToKey(), ApiQueryBase::keyToTitle() and
193   ApiQueryBase::keyPartToTitle() all removed (deprecated since 1.24).
194 * ApiQueryBase::checkRowCount() was removed (deprecated since 1.24).
196 == Compatibility ==
198 MediaWiki 1.27 requires PHP 5.3.3 or later. There is experimental support for
199 HHVM 3.3.0.
201 MySQL is the recommended DBMS. PostgreSQL or SQLite can also be used, but
202 support for them is somewhat less mature. There is experimental support for
203 Oracle and Microsoft SQL Server.
205 The supported versions are:
207 * MySQL 5.0.3 or later
208 * PostgreSQL 8.3 or later
209 * SQLite 3.3.7 or later
210 * Oracle 9.0.1 or later
211 * Microsoft SQL Server 2005 (9.00.1399)
213 == Upgrading ==
215 1.27 has several database changes since 1.26, and will not work without schema
216 updates. Note that due to changes to some very large tables like the revision
217 table, the schema update may take quite long (minutes on a medium sized site,
218 many hours on a large site).
220 If upgrading from before 1.11, and you are using a wiki as a commons
221 repository, make sure that it is updated as well. Otherwise, errors may arise
222 due to database schema changes.
224 If upgrading from before 1.7, you may want to run refreshLinks.php to ensure
225 new database fields are filled with data.
227 If you are upgrading from MediaWiki 1.4.x or earlier, you should upgrade to
228 1.5 first. The upgrade script maintenance/upgrade1_5.php has been removed
229 with MediaWiki 1.21.
231 Don't forget to always back up your database before upgrading!
233 See the file UPGRADE for more detailed upgrade instructions.
235 For notes on 1.26.x and older releases, see HISTORY.
237 == Online documentation ==
239 Documentation for both end-users and site administrators is available on
240 MediaWiki.org, and is covered under the GNU Free Documentation License (except
241 for pages that explicitly state that their contents are in the public domain):
243        https://www.mediawiki.org/wiki/Documentation
245 == Mailing list ==
247 A mailing list is available for MediaWiki user support and discussion:
249        https://lists.wikimedia.org/mailman/listinfo/mediawiki-l
251 A low-traffic announcements-only list is also available:
253        https://lists.wikimedia.org/mailman/listinfo/mediawiki-announce
255 It's highly recommended that you sign up for one of these lists if you're
256 going to run a public MediaWiki, so you can be notified of security fixes.
258 == IRC help ==
260 There's usually someone online in #mediawiki on irc.freenode.net.