mbedtls: fix CURLOPT_SSLCERT_BLOB

The memory passed to mbedTLS for this needs to be null terminated.

Reported-by: Florian Van Heghe
Closes #8146

asyn-ares: ares_getaddrinfo needs no happy eyeballs timer

Closes #8142

mailmap: add Yongkang Huang

From #8141

check ssl_config when re-use proxy connection

mbedtls: do a separate malloc for ca_info_blob

Since the mbedTLS API requires the data to the null terminated.

Follow-up to 456c53730d21b1fad0c7f72c1817

Fixes #8139
Closes #8145

CI: build examples for additional code verification

Some CIs already build them, let's do it on more of them.

Reviewed-by: Daniel Stenberg
Follow up to #7690 and 77311f420a541a0de5b3014e0e40ff8b4205d4af
Replaces #7591
Closes #7922

docs/examples: workaround broken -Wno-pedantic-ms-format

Avoid CURL_FORMAT_CURL_OFF_T by using unsigned long instead.
Improve size_t to long conversion in imap-append.c example.

Ref: https://github.com/curl/curl/issues/6079
Ref: https://github.com/curl/curl/pull/6082
Assisted-by: Jay Satiro
Reviewed-by: Daniel Stenberg
Preparation of #7922

tests/data/test302[12]: fix MSYS2 path conversion of hostpubsha256

Ref: https://www.msys2.org/wiki/Porting/#filesystem-namespaces

Reviewed-by: Marcel Raad
Reviewed-by: Jay Satiro
Fixes #8084
Closes #8138

openldap: simplify ldif generation code

and take care of zero-length values, avoiding conversion to base64
and/or trailing spaces.

Closes #8136

example/progressfunc: remove code for old libcurls

7.61.0 is over three years old now, remove all #ifdefs for handling
ancient libcurl versions so that the example gets easier to read and
understand

Closes #8137

sha256/md5: return errors when init fails

Closes #8133

TODO: 13.3 Defeat TLS fingerprinting

Closes #8119

RELEASE-NOTES: synced

openldap: process search query response messages one by one

Upon receiving large result sets, this reduces memory consumption and
allows starting to output results while the transfer is still in
progress.

Closes #8101

hash: lazy-alloc the table in Curl_hash_add()

This makes Curl_hash_init() infallible which saves error paths.

Closes #8132

multi: cleanup the socket hash when destroying it

Since each socket hash entry may themselves have a hash table in them,
the destroying of the socket hash needs to make sure all the subhashes
are also correctly destroyed to avoid leaking memory.

Fixes #8129
Closes #8131

test1156: fixup the stdout check for Windows

It is not text mode.

Follow-up to 6f73e68d182

Closes #8134

test1528: enable for hyper

Closes #8128

test1527: enable for hyper

Closes #8128

test1526: enable for hyper

Closes #8128

test1525: slightly tweaked for hyper

Closes #8128

test1156: enable for hyper

Minor reorg of the lib1156 code and it works fine for hyper.

Closes #8127

test661: enable for hyper

Closes #8126

docs: fix proselint nits

- remove a lot of exclamation marks
- use consistent spaces (1, not 2)
- use better words at some places

Closes #8123

BINDINGS.md: add cURL client for PostgreSQL

Closes #8125

CURLSHOPT_USERDATA.3: fix copy-paste mistake

Closes #8124

docs: fix minor nroff format nits

Repairs test 1140

Follow-up to 436cdf82041

docs/URL-SYNTAX.md: space is not fine in a given URL

curl_multi_perform/socket_action.3: clarify what errors mean

An error returned from one of these funtions mean that ALL still ongoing
transfers are to be considered failed.

Ref: #8114
Closes #8120

libcurl-errors.3: add CURLM_ABORTED_BY_CALLBACK

Follow-up to #8089 (2b3dd01)

Closes #8116

hash: add asserts to help detect bad usage

For example trying to add entries after the hash has been "cleaned up"

Closes #8115

lib530: abort on curl_multi errors

This makes torture tests run more proper.

Also add an assert to trap situations where it would end up with no
sockets to wait for.

Closes #8121

FAQ: we never pronounced it "see URL", we say "kurl"

RELEASE-NOTES: synced

CURLOPT_RESOLVE.3: minor polish

Minor rephrasing for some explanations.

Put the format strings in stand-alone lines with .nf/.fi to be easier to spot.

Move "added in" to AVAILABILITY

Closed #8110

test1556: adjust for hyper

Closes #8105

test1554: adjust for hyper

Closes #8104

retry-all-errors.d: make the example complete

... as it needs --retry too to work

TODO: 5.7 Require HTTP version X or higher

Closes #7980

CURLOPT_STDERR.3: does not work with libcurl as a win32 DLL

This is the exact same limitation already documented for
CURLOPT_WRITEDATA but should be clarified here. It also has a different
work-around.

Reported-by: Stephane Pellegrino
Bug: https://github.com/curl/curl/issues/8102
Closes #8103

multi: handle errors returned from socket/timer callbacks

The callbacks were partially documented to support this. Now the
behavior is documented and returning error from either of these
callbacks will effectively kill all currently ongoing transfers.

Added test 530 to verify

Reported-by: Marcelo Juchem
Fixes #8083
Closes #8089

http2:set_transfer_url() return early on OOM

If curl_url() returns NULL this should return early to avoid mistakes -
even if right now the subsequent function invokes are all OK.

Coverity (wrongly) pointed out this as a NULL deref.

Closes #8100

tool_parsecfg: use correct free() call to free memory

Detected by Coverity. CID 1494642.
Follow-up from 2be1aa619bca

Closes #8099

tool_operate: fix potential memory-leak

A 'CURLU *' would leak if url_proto() is called with no URL.

Detected by Coverity. CID 1494643.
Follow-up to 18270893abdb19
Closes #8098

openldap: implement STARTTLS

As this introduces use of CURLOPT_USE_SSL option for LDAP, also check
this option in ldap.c as it is not supported by this backend.

Closes #8065

curl_easy_unescape.3: call curl_easy_cleanup in example

Closes #8097

curl_easy_escape.3: call curl_easy_cleanup in example

Closes #8097

tool_listhelp: sync

Follow-up to 172068b76f

request.d: refer to 'method' rather than 'command'

Closes #8094

RELEASE-NOTES: synced

writeout: fix %{http_version} for HTTP/3

Output "3" properly when HTTP/3 was used.

Reported-by: Bernat Mut
Fixes #8072
Closes #8092

urlapi: accept port number zero

This is a regression since 7.62.0 (fb30ac5a2d).

Updated test 1560 accordingly

Reported-by: Brad Fitzpatrick
Fixes #8090
Closes #8091

lift: ignore is a deprecated config option, use ignoreRules

Closes #8082

HTTP3: update quiche build instructions

The repo repo was re-organized a bit, so the build instructions need to
be updated.

Closes #8076

CURLMOPT_TIMERFUNCTION.3: call it expire time, not interval

Since we say it is a non-repating timer

mbedTLS: include NULL byte in blob data length for CURLOPT_CAINFO_BLOB

Fixes #8079
Closes #8081

version_win32: Check build number and platform id

Prior to this change the build number was not checked during version
comparison, and the platform id was supposed to be checked but wasn't.

Checking the build number is required for enabling "evergreen"
Windows 10/11 features (like TLS 1.3).

Ref: https://github.com/curl/curl/pull/7784

Closes https://github.com/curl/curl/pull/7824
Closes https://github.com/curl/curl/pull/7867

libssh2: fix error message for sha256 mismatch

- On mismatch error show sha256 fingerprint in base64 format.

Prior to this change the fingerprint was mistakenly printed in binary.

openssl: check the return value of BIO_new()

Closes #8078

docs: Update the Reducing Size section

Add many more options that can reduce the size of the binary that were
added since the last update. Update the sample minimal binary size for
version 7.80.0.

tests: Add some missing keywords to tests

These are needed to skip some tests when configure options have disabled
certain features.

mbedTLS: add support for CURLOPT_CAINFO_BLOB

Closes #8071

digest: compute user:realm:pass digest w/o userhash

https://datatracker.ietf.org/doc/html/rfc7616#section-3.4.4
  ... the client MUST calculate a hash of the username after
      any other hash calculation ...

Signed-off-by: Glenn Strauss <gstrauss@gluelogic.com>
Closes #8066

config.d: update documentation to match the path search

Assisted-by: Jay Satiro

tool_findfile: search for a file in the homedir

The homedir() function is now renamed into findfile() and iterates over
all the environment variables trying to access the file in question
until it finds it. Last resort is then getpwuid() if
available. Previously it would first try to find a home directory and if
that was set, insist on checking only that directory for the file. This
now returns the full file name it finds.

The Windows specific checks are now done differently too and in this
order:

1 - %USERPROFILE%
2 - %APPDATA%
3 - %USERPROFILE%\\Application Data

The windows order is modified to match how the Windows 10 ssh tool works
when it searches for .ssh/known_hosts.

Reported-by: jeffrson on github
Co-authored-by: Jay Satiro
Fixes #8033
Closes #8035

docs: consistent manpage SYNOPSIS

Make all libcurl related options use .nf (no fill) for the SYNOPSIS
section - for consistent look. roffit then renders that section using
<pre> (monospace font) in html for the website.

Extended manpage-syntax (test 1173) with a basic check for it.

Closes #8062

RELEASE-NOTES: synced

openldap: handle connect phase with a state machine

Closes #8054

docs: address proselint nits

- avoid exclamation marks
- use consistent number of spaces after periods: one
- avoid clichés
- avoid using 'very'

Closes #8060

FAQ: typo fix : "yout" ➤ "your"

Closes #8059

docs/INSTALL.md: typo fix : added missing "get" verb

Closes #8058

insecure.d: detail its use for SFTP and SCP as well

Closes #8056

Makefile.m32: rename -winssl option to -schannel and tidy up

- accept `-schannel` as an alternative to `CFG` option `-winssl`
  (latter still accepted, but deprecated)
- rename internal variable `WINSSL` to `SCHANNEL`
- make the `CFG` option evaluation shorter, without repeating the option
  name

Reviewed-by: Marcel Raad
Reviewed-by: Daniel Stenberg
Closes #8053

KNOWN_BUGS: 5.6 make distclean loops forever

Reported-by: David Bohman
Closes #7716

KNOWN_BUGS: add one, remove one

- 5.10 SMB tests fail with Python 2

Just use python 3.

+ 5.10 curl hangs on SMB upload over stdin

Closes #7896

urlapi: provide more detailed return codes

Previously, the return code CURLUE_MALFORMED_INPUT was used for almost
30 different URL format violations. This made it hard for users to
understand why a particular URL was not acceptable. Since the API cannot
point out a specific position within the URL for the problem, this now
instead introduces a number of additional and more fine-grained error
codes to allow the API to return more exactly in what "part" or section
of the URL a problem was detected.

Also bug-fixes curl_url_get() with CURLUPART_ZONEID, which previously
returned CURLUE_OK even if no zoneid existed.

Test cases in 1560 have been adjusted and extended. Tests 1538 and 1559
have been updated.

Updated libcurl-errors.3 and curl_url_strerror() accordingly.

Closes #8049

urlapi: make Curl_is_absolute_url always use MAX_SCHEME_LEN

Instad of having all callers pass in the maximum length, always use
it. The passed in length is instead used only as the length of the
target buffer for to storing the scheme name in, if used.

Added the scheme max length restriction to the curl_url_set.3 man page.

Follow-up to 45bcb2eaa78c79

Closes #8047

cmake: warn on use of the now deprecated symbols

Follow-up to 9108da2c26d

Closes #8052

tests/CI.md: add more information on CI environments

Fixes #8012
Closes #8022

cmake: private identifiers use CURL_ instead of CMAKE_ prefix

Since the 'CMAKE_' prefix is reserved for cmake's own private use.
Ref: https://cmake.org/cmake/help/latest/manual/cmake-variables.7.html

Reported-by: Boris Rasin
Fixes #7988
Closes #8044

urlapi: reject short file URLs

file URLs that are 6 bytes or shorter are not complete. Return
CURLUE_MALFORMED_INPUT for those. Extended test 1560 to verify.

Triggered by #8041
Closes #8042

curl: improve error message for --head with -J

... it now focuses on the "output of headers" combined with the
--remote-header-name option, as that is actually the problem. Both
--head and --include can output headers.

Reported-by: nimaje on github
Fixes #7987
Closes #8045

RELEASE-NOTES: synced

urlapi: cleanup scheme parsing

Makea Curl_is_absolute_url() always leave a defined 'buf' and avoids
copying on urls that do not start with a scheme.

Closes #8043

tool_operate: only set SSH related libcurl options for SSH URLs

For example, this avoids trying to find and set the known_hosts file (or
warn for its absence) if SFTP or SCP are not used.

Closes #8040

rustls: remove comment about checking handshaking

The comment is incorrect in two ways:
 - It says the check needs to be last, but the check is actually first.
 - is_handshaking actually starts out true.

Closes #8038

openssl: use non-deprecated API to read key parameters

With OpenSSL 3.0, the parameters are read directly from the `EVP_PKEY`
using `EVP_PKEY_get_bn_param`.

Closes https://github.com/curl/curl/pull/7893

openssl: reduce code duplication

`BN_print`'s `BIGNUM` parameter has been `const` since OpenSSL 0.9.4.

Closes https://github.com/curl/curl/pull/7893

openssl: remove `RSA_METHOD_FLAG_NO_CHECK` handling if unavailable

The flag has been deprecated without replacement in OpenSSL 3.0.

Closes https://github.com/curl/curl/pull/7893

openssl: remove usage of deprecated `SSL_get_peer_certificate`

The function name was changed to `SSL_get1_peer_certificate` in OpenSSL
3.0.

Closes https://github.com/curl/curl/pull/7893

page-footer: fix typo

Closes #8036

http: enable haproxy support for hyper backend

This is done by having native code do the haproxy header output before
hyper issues its request. The little downside with this approach is that
we need the entire Curl_buffer_send() function built, which is otherwise
not used for hyper builds.

If hyper ends up getting native support for the haproxy protocols we can
backpedal on this.

Enables test 1455 and 1456

Closes #8034

configure: fix runtime-lib detection on macOS

With a non-standard installation of openssl we get this error:

    checking run-time libs availability... failed
    configure: error: one or more libs available at link-time are not available run-time. Libs used at link-time: -lnghttp2 -lssl -lcrypto -lssl -lcrypto -lz

There's already code to set LD_LIBRARY_PATH on Linux, so set
DYLD_LIBRARY_PATH equivalent on macOS.

Closes #8028

cmake: don't set _USRDLL on a static Windows build

Closes #8030

page-footer: document more environment variables

... that curl might use.

Closes #8027

netrc.d: edit the .netrc example to look nicer

Works nicely thanks to d1828b470f43d

Closes #8025

tftp: mark protocol as not possible to do over CONNECT

... and make connect_init() refusing trying to tunnel protocols marked
as not working. Avoids a double-free.

Reported-by: Even Rouault
Fixes #8018
Closes #8020

docs/cmdline-opts: do not say "protocols: all"

Remove the lines saying "protocols: all". It makes the output in the
manpage look funny, and the expectation is probably by default that if
not anything is mentioned about protocols the option apply to them all.

Closes #8021

curl.1: require "see also" for every documented option

gen.pl now generates a warning if the "See Also" field is not filled in for a
command line option

All command line options now provide one or more related options. 167
"See alsos" added!

Closes #8019

insecure.d: expand and clarify

Closes #8017