mysql 语句防注入
基础概念
MySQL语句防注入是指防止恶意用户通过输入特定的SQL代码片段,来操纵或破坏数据库的一种安全措施。SQL注入攻击是一种常见的网络攻击方式,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,从而绕过正常的认证和授权机制,获取、修改或删除数据库中的数据。
相关优势
- 安全性提升:有效防止数据泄露、数据篡改和非法访问。
- 合规性:符合各种数据保护法规的要求。
- 减少维护成本:避免因安全漏洞导致的系统维护成本增加。
类型
- 基于参数化查询:使用预编译语句和参数绑定来防止SQL注入。
- 输入验证:对用户输入进行严格的验证和过滤。
- 最小权限原则:数据库账号只赋予必要的权限,限制潜在的损害。
- 存储过程:使用存储过程来封装业务逻辑,减少直接的SQL语句执行。
应用场景
- Web应用程序:防止用户在登录、注册、搜索等操作中注入恶意SQL代码。
- API接口:保护后端服务不受恶意请求的影响。
- 内部管理系统:确保只有授权用户才能访问和操作数据。
问题与解决
为什么会这样?
SQL注入通常发生在应用程序没有正确处理用户输入,直接将用户输入拼接到SQL语句中执行。例如:
SELECT * FROM users WHERE username = '" + userInput + "' AND password = '" + passwordInput + "'";如果userInput是admin' --,那么拼接后的SQL语句变为:
SELECT * FROM users WHERE username = 'admin' --' AND password = ''由于--是SQL中的注释符号,密码检查部分被注释掉,导致任何输入都能通过验证。
原因是什么?
- 不安全的代码实践:直接拼接SQL语句。
- 缺乏输入验证:没有对用户输入进行有效的验证和过滤。
- 权限配置不当:数据库账号权限过大。
如何解决这些问题?
- 使用参数化查询:
String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement pstmt = connection.prepareStatement(sql);
pstmt.setString(1, userInput);
pstmt.setString(2, passwordInput);
ResultSet rs = pstmt.executeQuery();- 输入验证:
if (!isValidUsername(userInput) || !isValidPassword(passwordInput)) {
throw new IllegalArgumentException("Invalid input");
}- 最小权限原则:
确保数据库账号只拥有执行必要操作的权限,例如只读权限或特定表的访问权限。
参考链接
通过上述措施,可以有效防止SQL注入攻击,保护数据库的安全性和完整性。
相关·内容
2回答
在本例中,是否可以使用SQL注入更新MySQL数据库中的字段或插入新行:
PHP代码中唯一的保护是mysql_real_escape_string()。
查询是用双引号构造的:"select id from db where id = $id"而不是单字串文字引号。
数据库是mysql (使用mysql_query php调用),所以我认为堆叠查询是不可能的(如果我错了,请纠正我)。
使用mysql而不是mysqli。
我试过使用像1; update users set first_name = foo这样没有运气的东西,并尝试以十六进制和八进制格式传递逗号、'和八进制
浏览 0提问于2014-11-11得票数 5
回答已采纳
5回答
如何使此查询具有sql注入验证功能?
$sql=mysql_query("SELECT * FROM updates ORDER BY item_id DESC LIMIT 16");
while($row=mysql_fetch_array($sql))
{
$msg_id=$row['item_id'];
$message=$row['item_content'];
}
或者有人可以给我展示一些例子,或者给我发送一个教程的链接,我对此非常陌生,如果有人能帮助我,那就太好了!:)
浏览 2提问于2011-03-30得票数 2
回答已采纳
我只是想问在Mysql中是否有一种安全的方式来存储客户的信用。
假设他支付了100美元,我们在数据库中记下了100分。每一分都值一美元。一旦他使用了系统-我们从他的账户中减去一个计算出的金额并在他的仪表板中更新-这种情况每天都会发生很多次。
我只是想和你们确认一下,这是正确的方法吗?因为有人可能会黑进系统,把他的账户更新到100,000,然后无休止地使用系统...这就像一个预付费系统,用户可以根据他使用的资源等进行计费。
我想以某种方式确保它的安全,这样我们就可以用PHP进行计算,并在一天内多次向许多用户更新它……
有什么建议吗?
浏览 0提问于2013-01-30得票数 0
回答已采纳
1回答
我无法让我的一个身份验证策略正确运行,导致身份验证尝试总是返回false。为了测试,我甚至强制函数返回true。我使用的是Laravel 5.4,这是我的策略函数:
public function can_modify_or_delete(User $user, Comment $comment)
{
return true;
}
在我的AuthServiceProvider.php文件中,我已经将CommentPolicy添加到我现有的策略注册中。
protected $policies = [
'App\Models\Post' => 'App
浏览 3提问于2017-05-14得票数 3
我正在为我的安全模块在大学里做一个SQL注入项目,我正在努力学习它是如何工作的。
当脚本不过滤输入,然后循环遍历DB结果集,在屏幕上显示数据时,我可以看到它是如何工作的。但据我所知,以下代码是,不容易受到注入的影响,因为它只希望在屏幕上显示一组值:
<?php
mysql_connect("localhost", "root", "");
mysql_select_db("testdb");
$result = mysql_query("SELECT id, name, description FROM test_
浏览 9提问于2014-06-19得票数 0
回答已采纳
1回答
我正在尝试使用ajax按类而不是id更新行数量我在google上找了几个小时试图解决这个问题,但我能找到的所有东西似乎都不起作用
到目前为止我的代码是
include('config.php');
$id=$_GET[id];
$sql2="SELECT * FROM `orders` WHERE `id` = '".$id."'";
$result2 = mysql_query($sql2);
$row2 = mysql_fetch_array($result2);
$order=$_GET[order];
$q
浏览 3提问于2013-05-09得票数 1
回答已采纳
事实上,我做了谷歌,得到了这么多的结果,但我无法理解,因为我是这个领域的新手。
那么,什么是PDO是一个简单的方法,为什么我要使用这个,什么是SQL注入,等等?
实际上,我的代码就是这样的。
config.php
<?php
$mysql_hostname = "localhost";
$mysql_user = "root";
$mysql_password = "";
$mysql_database = "testdb";
$prefix = "";
$bd
浏览 5提问于2014-10-10得票数 0
你好,我正在用node.js和mysql开发服务器。当我阅读一些关于mysql库的文档时,我发现打开多语句选项会增加SQL注入攻击的范围。
我知道如果我使用带有'?‘的SQL语法将会避开SQL语法。所以我想如果我用?在使用多个查询的情况下,无法进行SQL注入攻击。是对的吗?
例如,
let sql = "UPDATE auth_user SET last_login=now() WHERE username=?; SELECT id, nickname FROM auth_user WHERE username = ? LIMIT 1"; let params = [u
浏览 5提问于2018-05-11得票数 2
最近,我们的一个客户的网站受到SQL注入攻击,原因是未能清理提供给页面的查询字符串参数。有漏洞的代码已经被识别出来,并且正在被纠正,但是它让我想知道MySQL和SQL Server处理多查询字符串的方式有什么不同。
有漏洞的代码在几十个网站上使用,其中两个在SQL server上运行,其余的在MySQL上运行。有了这段代码,我们以前从未遭受过注入攻击(上帝的恩典),但一旦我们发布了两个运行在SQL server上的网站(使用相同的代码库),网站很快就被利用了。注射的方法非常简单:
page.asp?param=1;delete from [some_table];
正如我所说,易受攻击的代码在
浏览 0提问于2009-09-01得票数 1
回答已采纳
我只是在阅读关于mysql注入的文章,我想确认一下,如果你强制用户使用列表选项来输入mysql (这些输入被设置为只读),那么系统本质上是不会受到mysql注入的影响的?是否需要采取措施来保护以这种方式开发的站点的恶意mysql注入尝试?
浏览 0提问于2016-03-26得票数 0
7回答
我目前正在测试Vulnerabiltys到SQL注入作为我公司的应用程序作为一个it实习生。
因此,我发现应用程序确实容易受到注入的影响,因为我可以更改一些insert语句。
因此,我将insert语句修改为:
INSERT INTO tablename( column, column1, column2, column3, column4,column5, column6, column7, column8 )
VALUES ( 10965972, 185796154, 25, 23,2023, '', CURRENT_DATE, 'v0201100',
1
浏览 33提问于2011-01-04得票数 2
我有一个HTML表单页面:
form1.html
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
"http://www.w3.org/TR/html4/strict.dtd"
>
<html lang="en">
<head>
<title>Insert Your Details</title>
</head>
<body>
<h3> Insert Your Name
浏览 0提问于2010-12-05得票数 0
回答已采纳
在mybatis.xml中
<select id="muwbQueryCityAll" parameterType="String" resultType="MonCity">
SELECT CITY_CODE cityCode, REGION_CODE regionCode, CITY_NAME cityName, ORDER_ID orderId
FROM TB_MON_CITY_DICT where region_code in(#{regionCode}) group by REGION_CODE
</selec
浏览 2提问于2014-01-30得票数 0
Update:对此有一些说明性的响应,主要是mysql函数被废弃,而且mysqli允许您使用准备好的语句。这很有意义,也很有帮助,而在我看来,“使用mysqli”既不是建设性的,也不是有帮助的。
每当有一个PHP和MySQL问题被问到,并且OP有使用mysql_query的代码时,社区的本能反应就是评论他们应该使用mysqli系列函数。
请提供一个场景,如果我的代码使用mysql_query,恶意用户可以发起成功的注入攻击,但是如果尝试了相同的攻击,但是代码使用了mysqli函数,就会被挫败吗?假设禁用了一条语句中的多个查询,这是典型的情况。
浏览 0提问于2015-06-28得票数 5
回答已采纳
我试图编译几个MySQL语句,并在同一个请求中执行它们,但我一直收到MySQL语法错误:
local.sql = "";
for (local.i in this.hitArray)
{
local.sql &= "UPDATE posts SET viewCount = posts.viewCount + 1 WHERE posts.id = #local.i.postId#;";
}
local.service.setSQL(local.sql);
原始SQL转储(local.sql var):
UPDATE posts SET viewCo
浏览 0提问于2011-08-09得票数 2
回答已采纳
1回答
所以我有了这段php代码
if($_POST['action']=='newComment')
{
$mysqli = new mysqli("localhost", "root", "", "nested_comment");
$new_post = $mysqli->real_escape_string($_POST['content']);
$result = $mysqli->query("SELECT @myLeft := lft
浏览 3提问于2015-03-24得票数 1
回答已采纳
1回答
bool MySql_Register(const char* id, const char* pw) {
MYSQL* connect_ptr;
connect_ptr = mysql_init(NULL);
if(!mysql_real_connect(connect_ptr, HOST, USER, PW, NAME, 3306, NULL, 0)) {
fprintf(stderr, "%s ",mysql_error(connect_ptr));
exit(1);
}
char sql[256] = {0};
sprintf(
浏览 2提问于2016-04-27得票数 0
目前我得到了这个:
$password = mysql_real_escape_string($_POST['password']);
然后我用下面的密码检查密码:
$password_q = mysql_query ("SELECT password FROM ppl WHERE email='$email'");
$password_result = mysql_result ($password_q, 0);
if (!password_verify($password, $password
浏览 4提问于2016-04-22得票数 1
嘿,我有两个输入域,试图让它们很好地进入数据库,我四处寻找,试图把它们拼凑在一起,有人能把我推向正确的方向吗?:)
<?php
// Connect to server and select databse.
mysql_connect("$subsc_hostname", "$subsc_username", "$subsc_password")or die("cannot connect");
mysql_select_db("$subsc_database")or die(
浏览 0提问于2014-01-28得票数 0
2回答
如果表行中不存在数据,我将尝试更新表并添加数据。
$data = "red flowers";
$id = "12";
mysql_query("update shares set data = data + '".$data."' WHERE id = '".$id."' LIMIT 1")
但它不起作用。正确的方法是什么?
浏览 2提问于2015-12-12得票数 1
回答已采纳
这张登记表是我做的,但它做不到我想做的事。
我希望它连接到mysql数据库,并存储表单提供的信息。我希望它在$password中散列md5,并将其存储在"gebruikers“表中。请不要回答“该死,你不知道你在做什么”之类的话。我是通过寻找例子和以下教程学习PHP的。请记住,mysql插入代码没有正确填写,因为我在上面被卡住了几行。
因此,我的问题是:我想检查mysql表是否已经包含$email。如果它已经在mysql表中,我想要显示一条错误消息,可以放在PHP页面的其他地方。如果给出的电子邮件入口是唯一的,那么$password应该散列到md5中并存储到mysql数据库中,就像其他
浏览 3提问于2013-06-26得票数 0
我正在使用mysql,并试图阻止那些试图使用我的单个查询来运行多个查询的人注入不需要的查询。例如,当我有一个参数"?id=3“时,人们可以尝试用="id=3;drop table users”来运行它。
现在,我知道避免这种情况的最好方法是解析和检查参数,但是有没有办法将连接的查询分隔符从";“更改为类似于"%^#$%@#$^$”的形式?
浏览 1提问于2009-08-28得票数 1
回答已采纳
例如,我正在尝试制作一些带有故事的页面
if(!empty($_GET['page']) && ctype_digit($_GET['page'])) {
$id = mysql_escape_string($_GET['page']); //in case ctype_digit didnt work well.
$pDatabase = Database::getInstance();
$query = "SELECT * FROM stories WHERE id = '$id'
浏览 0提问于2014-06-29得票数 0
6回答
SQL注入攻击
、、、
如何保护我的站点免受SQL注入攻击?我正在使用PHP和mysql。我必须改变我的mysql查询吗?
例如,我有一个这样的查询:
<?php
$q=$_GET["q"];// im getting the Q value from the other form,from drop down box[displaying data using Ajax
$a1=$_POST['hosteladmissionno'];
$a2=$_POST['student_name'];
$a3=$_POST['semester'];
$con
浏览 3提问于2011-03-29得票数 5
回答已采纳
我编写了一个简单的PHP应用程序(MyApp),允许用户使用Evernote的SDK登录他们的Evernote帐户。但是,在我的应用程序中,我想这样做:
用户批准Evernote登录
MyApp接收#1的requestToken、requestTokenSecret等。
MyApp将#2存储到cookie和$_SESSION中
当用户稍后返回我的站点时,MyApp将他们通过cookie登录。
是的,我知道这种基于cookie的登录是不安全的。但是,我的应用程序不存储敏感数据。最简单的方法是什么?以下是我的尝试:
//if cookie
if (isset($_COOKI
浏览 3提问于2012-11-02得票数 2
1回答
我对web设计很陌生,我使用一种非常简单的ajax方法从数据库中获取产品的id。作为后端技术的新手,我想知道是否有人会不介意教我一点关于php安全性的知识。
我讨论的第一个问题是post方法和post方法的数据获取方法。
function setupc(upc) {
var sku1 = $("#option1 option:selected").data('sku');
var sku2 = $("#option2 option:selected").data('sku');
if (sku2 !== n
浏览 2提问于2013-07-29得票数 0
回答已采纳
2回答
插入时的SQL注入
、、、、
这里描述的INSERT上的SQL注入似乎不适用于MySQL。
当我使用以下语句时:
INSERT INTO COMMENTS VALUES('122','$_GET[value1]');
将其作为'value1‘变量值:
'); DELETE FROM users; --
返回此错误:
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to
浏览 2提问于2011-07-22得票数 3
1回答
我对PHP很陌生,有人告诉我,我的MySQL语句不安全,不能被注入。
下面是我的老问题:
$addbook = "INSERT INTO bookings (bookID, startDate, startTime, endDate, endTime) ";
$addtempres .= "VALUES ('".$bookid."', '".$startdate."', '".$starttime."', '".$enddate."',
浏览 1提问于2013-03-14得票数 0
回答已采纳
有人能帮我个小忙吗?我有三个PHP SQL查询,并且我必须防止SQL注入。我在google上搜索,但我认为对我来说太难了,因为它与PHP结合在一起,我对PHP和SQL一无所知
如果有人能给我代码保护,我将不胜感激
代码:
$q=mysql_query("SELECT * FROM user where email= '".$_REQUEST['email']."'",$link );
$q=mysql_query("UPDATE user SET mobilePhone='".$_REQUEST['
浏览 0提问于2010-12-18得票数 0
回答已采纳
我想知道是否可以使用MySQL库而不是mysqli库,用PHP和mysql创建预准备语句。
我在PHP文档上找不到任何东西。
谢谢。
浏览 1提问于2010-01-26得票数 4
回答已采纳
2回答
我需要帮助。
假设我使用sql注入方法获取网站的数据库名称,并设法从表中获取所有数据,那么是否可以在不使用基本sql客户端标识服务器上的情况下更改该数据?
谢谢。
(我更希望所有数据库类型的答案都是通用的,但如果不是,所讨论的数据库版本是mysql)
浏览 3提问于2014-09-28得票数 0
回答已采纳
3回答
好的,考虑一下这个url:
example.com/single.php?id=21424
对于你和我来说,很明显PHP将获取id并通过mysql查询来运行它,以检索1条记录以将其显示在页面上。
有没有什么恶意的黑客会把这个url搞乱,对我的应用程序/mysql数据库造成安全威胁?
谢谢
浏览 0提问于2011-02-23得票数 8
回答已采纳
1回答
我使用的是PHP7,MySQL。我为我的项目编写了很长时间的代码,现在它有数千个MySQL查询。当时我不知道有事先准备好的声明。
现在,为了避免SQL注入,我想使用准备语句,但很难将它们逐一转换为准备语句。
有任何方法可以解析一个普通语句并使用PHP自动将其转换为准备语句吗?对于每个MySQL查询,在传递给MySQL命令之前,我都会将其传递给MySQL函数。
public function dbquery($query,$dbname,$dbclose="-1")
{
$this->mysqli->select_db($dbname);
浏览 2提问于2016-02-03得票数 1
回答已采纳
2回答
这个javascript/AJAX在我的本地主机服务器上工作,但是当我将它移到共享主机上时,它现在抛出了一个错误,即在MySQL调用中对非对象的成员函数execute()进行了调用。
HTML:
onclick="showTrending('page_views DESC', 'product.active= "y"
AND product.deleted= "n" ', '12', 'popular')"
然后是javascript:
fu
浏览 0提问于2012-12-31得票数 0
回答已采纳
$array =array();
array_push($array,"string");
$string = json_encode($array);
mysql_query('UPDATE table SET strings="'.$string.'" WHERE username="'.$username.'"');
该字符串未出现在mysql表中。当我定义一个像$string = " string“这样的字符串时,当我使用'INT‘数字per时,它可以工作。所以它在某种程度
浏览 0提问于2015-01-31得票数 1
3回答
我在旧网站上工作,在日志文件中发现了这个错误:
Invalid SQL: SELECT COUNT(*) AS color_count FROM colors WHERE id IN (on,on) ;
mysql error: You have an error in your SQL syntax; check the manual that corresponds to
your MySQL server version for the right syntax to use near
'on,on) ' at line 1
php代码如下所示:
$que
浏览 7提问于2014-04-24得票数 0
1回答
如何在此代码中使用PHP表单验证?谢谢
<?php
$hostname = ""; // usually is localhost, but if not sure, check with your hosting company, if you are with webune leave as localhost
$db_user = ""; // change to your database password
$db_password = ""; // change to your database password
$databas
浏览 1提问于2011-06-03得票数 0
1回答
我有一个检查用户输入的函数,我想知道它是否可以防止所有这种攻击。另外,如果我想把这个函数包含在每个需要它的页面上,我可以把它放在一个自己的php页面中,然后在需要的地方' include ()‘它。谢谢。
function secure_data($value)
{
if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}
if (function_exists("mysql_real_escape_string" )) {
$value = mysql_real_escape_stri
浏览 1提问于2011-12-30得票数 1
回答已采纳
1回答
我有以下PHP代码..。(与+++交换的敏感数据)
<?php
$host="triplestrata.com"; // Host name
$username="+++"; // Mysql username
$password="+++"; // Mysql password
$db_name="+++"; // Database name
$tbl_name="++_+++"; // Table name
// Connect to server and select databse.
m
浏览 3提问于2014-05-05得票数 0
回答已采纳
如何将这些多个查询合并为一个查询(可以吗?)
$query = "DELETE FROM aktywne_kody WHERE kodsms ='$kodSMSgracza' AND typkodu ='$id'";
mysql_query($query) or die(mysql_error());
$query = "INSERT INTO uzyte_kody (gracz, kodsms, typkodu) VALUES ('$nickGracza', '$kodSMSgracza', '
浏览 0提问于2012-12-21得票数 27
回答已采纳
3回答
我想做简单的注册表单,但我不能前进,我已经尝试了一切,但它仍然不起作用--这是我的代码:
protected void doPost(javax.servlet.http.HttpServletRequest request, javax.servlet.http.HttpServletResponse response) throws javax.servlet.ServletException, IOException
{
StringBuilder builder= new StringBuilder();
Reader reader=reques
浏览 7提问于2015-12-23得票数 0
回答已采纳
我意识到我的应用程序的以下部分具有MySQL注入的潜力。
$id= $_GET['id'];
$query = "SELECT * FROM clients WHERE id = $id";
//run query
在运行is_numeric($id)查询之前,检查MySQL是否足够安全?还是我有必要用准备好的语句重写我的代码?
浏览 4提问于2015-01-27得票数 1
回答已采纳
考虑到以下场景,对于MySql如何处理select语句中的数据,我感到困惑。
使用普通SQL语句选择用户
从userid =15的用户中选择*;
在整数值周围选择带有单引号的用户
从userid =‘15’的用户中选择*;
在这两种情况下,MySql返回相同的结果,因此在MySql中单引号整数和普通整数之间是否有任何区别。在整数值周围使用引号安全吗?
浏览 5提问于2017-07-06得票数 1
我有两个MySQL表- "mfb_servicelog“和"mfb_agent_status_summary”。
我希望从"total_ce“列中选择sl_id = $sl_id中的”sl_id“列中的数据,然后使用PHPExcel将其导出为excel工作表。
我可以从$sl_id = $value$i的mfb_servicelog表中获得h_id值。
$value的值来自另一个php文件,它使用_POST作为数组。
请给我指一下右边的那个。
这是我的代码:(返回的错误列表很长)
$value = $_POST['hospitalname'];
$fro
浏览 5提问于2015-04-23得票数 0
回答已采纳
3回答
所以我让我的一个朋友试着在我的网站上运行一个SQLinjection,他设法使用下面的代码进入了它。我如何防止这种情况发生?我读过一些关于清理变量的文章,但是我该怎么做呢?
‘;插入login (用户名,密码)值('Gjertsmells','password’);从Login WHERE 'x'='x‘中选择’password‘
$db = new PDO('mysql:host=XXXXXXXX;dbname=XXXXXXX', 'XXXXXXXXXX', 'XXXXXXXXX');
浏览 0提问于2013-06-14得票数 5
回答已采纳
我正在处理一个查询,它对全文索引使用MATCH ()和()。
奇怪的是,这个查询在PHP中不起作用,但是与HeidiSQL甚至MySQL控制台(mysql -u .)一起工作。
这是我正在处理的查询:
SELECT *
FROM `announcements`
WHERE MATCH (`name`, `email`, `trademark`, `model`, `phone`, `city`) AGAINST ('+Ravenna*' IN BOOLEAN MODE)
这是PDO的错误:
SQLSTATE42000:语法错误或访问冲突: 1064您的SQL语法出现了错误;请
浏览 2提问于2016-02-24得票数 1
回答已采纳
我有这个问题。下面是获取一个MySQL表并将数据插入到另一个MySQL表中的代码:
<?php
$connect = mysql_connect("host","user","password");
if (!$connect){
die("Failed to connect to the database: ".mysql_error());
}
$kies_bd = mysql_select_db("eraenz_db1",$connect);
if (
浏览 0提问于2011-03-29得票数 0
回答已采纳
我相信这句话很容易被注射,但我不确定。
在这方面有帮助吗?
谢谢。
function CheckUserLogin($userName,$password)
{
$sql="SELECT user_id
FROM users
WHERE user_name='".addslashes($userName)."' AND password ='".addslashes($password)."'";
$this->query($sql);
浏览 2提问于2016-03-19得票数 0
回答已采纳
我正在考虑使用一个名为Zebra_Database的MySQL包装器,可以在这里找到:
有人能从代码中看出这是否可以防止SQL注入,或者我应该采取哪些进一步的措施来保护自己?
谢谢!!
浏览 0提问于2013-03-30得票数 0
回答已采纳
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
腾讯云开发者
