负载平衡是一种非常有用的技术，可以在多个服务器之间分配传入的网络流量。使用此技术，您可以减少资源使用量，缩短响应时间并避免服务器过载。在本教程中，我们将指导您完成在Linux VPS上配置Nginx负载平衡的步骤。Nginx负载平衡是实现完全应用程序冗余的最有效的选项之一，并且相对容易且快速设置。我们将使用循环机制配置Nginx负载平衡。这样，它将所有请求转发到Nginx配置中包括的相应服务器。

目录

1. 登录SSH
2. 更新所有软件
3. 安装Nginx Web 服务器
4. 添加负载均衡
5. 在Nginx中添加上游模块
6. 重新启动Nginx
7. 设置权重平衡
8. 设置最大失败次数
9. 设置IP哈希平衡

以root用户身份登录到服务器

ssh root@IP_Address

更新所有软件

apt-get update && apt-get upgrade

安装Nginx Web服务器

apt-get install nginx

安装完成后，检查Web服务器是否正在运行。

	service nginx status
nginx.service - A high performance web server and a reverse proxy server
Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
Active: active (running)  

添加负载均衡

使用文本编辑器打开网站的Nginx配置文件。

vim /etc/nginx/sites-available/yourdomain.com.conf

并将负载平衡配置附加到文件顶部。

	upstream loadbalancer {
server vps1.yourdomain.com;
server vps2.yourdomain.com;
server vps3.yourdomain.com;
} 

在Nginx中添加上游模块

在相同的配置文件yourdomain.com.conf中，我们需要在virtualhost配置中添加上游模块。

server {
location / {
proxy_pass http://loadbalancer;
}
}

重新启动Nginx服务器

保存所有文件只有重启Nginx服务器。

service nginx restart

此配置将在三台服务器（vps1.yourdomain.com，vps2.yourdomain.com，vps3.yourdomain.com）之间平均分配所有传入流量。Nginx也可以配置为更有效地分配流量。它带有平衡选项，例如权重平衡，最大失败数和IP哈希平衡。

权重平衡

我们可以使用此选项来指定分配给上游列出的每个服务器的流量的比例。

upstream loadbalancer {
server vps1.yourdomain.com weight=1;
server vps2.yourdomain.com weight=2;
server vps3.yourdomain.com weight=5;
}

此示例中，vps2.yourdomain.com的流量是vps2.yourdomain.com的两倍，vps3.yourdomain.com的流量是vps1.yourdomain.com的五倍。

最大失败次数

如果使用默认的Nginx设置，即使服务器关闭，它也会将数据发送到服务器。我们可以使用“最大失败次数”选项来防止这种情况。

upstream loadbalancer {
server vps1.yourdomain.com max_fails=4  fail_timeout=20s;
server vps2.yourdomain.com weight=2;
server vps3.yourdomain.com weight=4;
}

在上面的示例中，Nginx将尝试连接到vps1.yourdomain.com，如果响应时间超过20秒，它将进行另一次尝试。经过四次尝试，vps1.yourdomain.com将被视为关闭。

设置IP哈希平衡

使用此方法，访问者将始终被发送到同一服务器。因此，如果访问者收到vps1.yourdomain.com的内容，则除非服务器停机或无法访问，否则它将始终传输到该服务器。

upstream loadbalancer {
ip_hash;
server vps1.yourdomain.com;
server vps2.yourdomain.com;
server vps3.yourdomain.com down;
}

HTTP Strict Transport Security（通常简称为HSTS）是一个安全功能，它告诉浏览器只能通过HTTPS访问当前资源，而不是HTTP。启用 HSTS 不仅仅可以有效防范中间人攻击，同时也为浏览器节省来一次 302/301 的跳转请求，如果配置了HSTS，网站则通过HTTP Strict Transport Security通知浏览器，这个网站禁止使用HTTP方式加载，浏览器应该自动把所有尝试使用HTTP的请求自动替换为HTTPS请求。

HTTP严格传输安全（英语：HTTP Strict Transport Security，缩写：HSTS）是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略，来让浏览器强制使用HTTPS与网站进行通信，以减少会话劫持风险。

作用

HSTS的作用是强制客户端（如浏览器）使用HTTPS与服务器建立连接。服务器开启HSTS的方法是，当客户端通过HTTPS发出请求时，在服务器返回的超文本传输协议（HTTP）响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效。

比如，https://example.com/ 的响应头含有Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点：

1. 在接下来的31536000秒（即一年）中，浏览器向example.com或其子 域名发送HTTP请求时，必须采用HTTPS来发起连接。比如，用户点击 超链接或在地址栏输入 http://www.example.com/ ，浏览器应当自动将 http 转写成 https，然后直接向 https://www.example.com/ 发送请求。
2. 在接下来的一年中，如果 example.com 服务器发送的TLS 证书无效，用户不能忽略浏览器警告继续访问网站。

HSTS可以用来抵御SSL剥离攻击。SSL剥离攻击是中间人攻击的一种，由Moxie Marlinspike于2009年发明。他在当年的黑帽大会上发表的题为“New Tricks For Defeating SSL In Practice”的演讲中将这种攻击方式公开。SSL剥离的实施方法是阻止浏览器与服务器建立HTTPS连接。它的前提是用户很少直接在地址栏输入https://，用户总是通过点击链接或3xx重定向，从HTTP页面进入HTTPS页面。所以攻击者可以在用户访问HTTP页面时替换所有https://开头的链接为http://，达到阻止HTTPS的目的。

HSTS可以很大程度上解决SSL剥离攻击，因为只要浏览器曾经与服务器建立过一次安全连接，之后浏览器会强制使用HTTPS，即使链接被换成了HTTP

IIS开启HSTS

此方法未在IIS7/8.5版本测试，如果设置后网站出现500状态码则撤销更改；在配置HSTS前需要将http请求重定向到https请求上。

方法一：添加自定义HTTP响应头

在网站根目录下的web.config文件里添加以下代码：

	 <configuration>
    <system.webServer>
        <httpProtocol>
            <customHeaders>
                <add name=&quot;Strict-Transport-Security&quot; value=&quot;max-age=31536000&quot; />
            </customHeaders>
        </httpProtocol>
    </system.webServer>
</configuration> 

方法二：利用URL重写工具

安装URL重写模块，并为具有HTTP和HTTPS绑定的单个网站配置重写规则。HTTP到HTTPS重定向可以由入站规则指定，而将STS标头添加到HTTPS回复可以通过出站规则来实现。

	<?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot;?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name=&quot;Redirect HTTP to HTTPS&quot; stopProcessing=&quot;true&quot;>
                    <match url=&quot;(.*)&quot; />
                    <conditions>
                        <add input=&quot;{HTTPS}&quot; pattern=&quot;off&quot; />
                    </conditions>
                    <action type=&quot;Redirect&quot; url=&quot;https://{HTTP_HOST}/{R:1}&quot; redirectType=&quot;Permanent&quot; />
                </rule>
            </rules>
            <outboundRules>
                <rule name=&quot;Add the STS header in HTTPS responses&quot;>
                    <match serverVariable=&quot;RESPONSE_Strict_Transport_Security&quot; pattern=&quot;.*&quot; />
                    <conditions>
                        <add input=&quot;{HTTPS}&quot; pattern=&quot;on&quot; />
                    </conditions>
                    <action type=&quot;Rewrite&quot; value=&quot;max-age=31536000&quot; />
                </rule>
            </outboundRules>
        </rewrite>
    </system.webServer>
</configuration>

如果配置以上代码后网站未出现500等错误，既可以打开浏览器测试HSTS是否配置成功。

测试HSTS是否成功

使用Google Chrome 浏览器打开站点，按下F12打开控制台，转到Network，点击列表中的页面，查看Response Headers中的消息头列表：

如果有类似Strict-Transport-Security: max-age=31536000; includeSubDomains; preload的代码，则证明HSTS配置成功。

网站日志是记录web服务器接收处理请求以及运行时错误等各种原始信息的以.log结尾的文件，确切的讲，应该是服务器日志。网站日志最大的意义是记录网站运营中比如空间的运营情况，被访问请求的记录。通过网站日志可以清楚的得知用户在什么IP、什么时间、用什么操作系统、什么浏览器、什么情况下访问了你网站的哪个页面，是否访问成功等等。

网站日志存放在哪里？

大部分主机包括虚拟主机都会提供一个网站日志功能。网站日志不同于流量统计，流量统计只是统计网站的IP、PV、UV等信息，而网站日志则是整个网站的运行情况，包括用户的IP，访问详情，页面来源，还有用户的UA等等。站长们可以根据用户UA来判断是否有假的蜘蛛来采集网站内容。

虚拟主机日志存放路径：

1. 阿里云虚拟主机：需要登陆虚拟主机"控制台"=>"文件管理"=>"网站日志下载"，选择某一天的日志点击下载，之后会在网站里创建一个文件夹名为wwwlogs的文件夹，从FTP里下载即可。
2. 西部数据虚拟主机：需要登录虚拟主机管理页面，找到"网站情报系统"下的"WWW日志"，点击下载WebLog日志，之后会在网站里创建一个名为logfiles的文件夹，同样从FTP里下载即可。(西部数据的日志有日期限制，只能下载近几天的日志。)
3. 百度云虚拟主机：需要登录虚拟主机管理页面，点击"日志管理"=>"主机日志"，开启FTP日志，保存目录为根目录/ftplogs。
4. 其他虚拟主机请咨询客服。

云服务器的日志存放路径

1. Windows Server系列操作系统：一般情况下在C盘下的intepub/logs/LogFiles文件夹下，比如W3SVC6000，其中"6000"为站点的ID。
2. Linux系列系统因使用的管理软件不同其日志文件存放路径也不同，以宝塔面板为例，登录宝塔管理面板，找到左侧的"文件"，打开路径"根目录=>www=>wwwlogs"文件夹，使用宝塔面板创建的网站日志文件通常会在一个文件里保存，网站日志文件名通常以创建网站时的名称+"access_log"命名，错误信息通常以网站名称+"error_log"结尾。

如何查看IIS站点的ID：

打开IIS，找到要查看ID的站点，在右侧点击高级设置，在常规栏目下找到ID即可。

分析日志文件

从服务器上下载日志文件后，可以利用第三方日志分析网站来分析日志详情，也可以使用Excel等工具分析网站日志。

利用第三方日志分析网站分析

将网站日志上传到第三方日志分析网站上，比如 LogHao日志分析工具，上传之后输入网站URL，点击分析即可在右侧看到日志分析详情。

利用Excel工具查看

在导入到Excel之前，需要打开日志文件把列表头的一些无用字段删除掉，比如"#Software: Microsoft Internet Information Services 10.0"、"#Version: 1.0"等等字段。打开Excel，在菜单里找到"数据=>获取外部数据=>自文本"，打开导入文件对话框，将右下角的文件类型选择"所有文件(*.*)"，选中日志文件。

接着会出现文本导入向导对话框，在原始数据类型中选择"分隔符号"，点击"下一步"，"分割符号"选择"空格"，点击下一步、完成，将数据放置到=$A$1位置下即可。

导入成功后会在表格中显示整个日志信息，其中一些列表头的意义为：

站长们需要重点关注的几点是：访问的URL地址、浏览器UA(非常重要，此字段可以分辨真假蜘蛛)、服务器状态码(重要，如果有404或非200等正常状态码就需要检查网站链接)、访问延迟（最好关注下，如果延迟很高说明服务器带宽低或者有人在盗取你网站上的资源）。

重要关注点说明

访问的URL地址(cs-uri-stem)

cs-uri-stem为用户访问、搜索引擎抓取的地址，如果搜索引擎抓取了不是自己网站上的链接，请及时向站站长平台反馈信息；如果出现经常有用户访问css、img和js等文件，却没有访问网页的情况时，需要站长们注意自己网站的资源是否已经被别人盗用，被别人盗用会增加自己网站的请求量，增加用户打开网站加载时间，甚至还会增加你的流量费用(有流量限制的虚拟主机)。如果被盗用资源可以联系主机服务商是否可以开启防盗链功能。

用户UAcs(User-Agent)

用户UA代表用户是以哪种浏览器访问，或搜索引擎的标识，比如"Sogou+web+spider"、"compatible;+Baiduspider/2.0"等等，如果你没有提交站点给某一个搜索引擎，用户UA却出现了这个搜素引擎的标识，比如国外的“MJ12bot”等等(需要注意的是，搜索引擎抓取频率过多也会导致网站服务器压力过大)，请及时将其他没有提交的搜索引擎标识写进robots.txt文件里并设置禁止抓取(Disallow: /)；如果发现有其他网站采集本站的数据，需要站长们做好防采集功能。

常见的搜索引擎UA有：

请求状态码(sc-status)

请求状态码反映了网站的链接或者资源是否可以打开，常见的状态码有：200(ok)表示访问正常；301(永久重定向)；302(暂时重定向)；403(禁止访问)；404(页面或资源不存在)；500系列(通常为网站内部错误，比如代码语法错误等原因导致页面无法呈现)。

如果网站上出现了大量的400、500等状态码，需要站长们重点注意：网站是否有死链；是否有拼写错误的链接；网站的环境配置是否正确，比如php、.Net环境等，以及php代码或asp(x)代码是否书写正确。

访问延迟(time-taken)

访问延迟(或者说响应时间)一般在30~200毫秒之间为最佳，超过了1000毫秒则说明网站配置较低或带宽低，客户访问的地理位置和服务器的地理位置比较远，也不排除有其他网站盗用资源或者采集数据。建议选购主机时选择离客户地理位置近的区域或是升级服务器配置、增加网站带宽。

参考链接：
简书：如何分析网站日志文件

CSS变量是由CSS作者定义的实体，其中包含要在整个文档中重复使用的特定值。使用自定义属性来设置变量名，并使用特定的 var() 来访问。（比如 color: var(--main-color);）。其中变量类型分为两种，局部变量和全局变量，局部变量用于一个选择其中，而全局变量用于整个文档。

CSS变量简介

在一些命令式编程语言中，像Java、C++亦或是JavaScript，通过变量我们能够跟踪某些状态。变量是一种符号，关联着一个特定的值，变量的值能随着时间的推移而改变。在像CSS这种声明式语言中，随着时间而改变的值并不存在，也就没有所谓变量的概念了。 CSS引入了一种层级变量的概念，从而能够从容应对可维护性的挑战。这就会使得在整个CSS中都可以象征性的引用一个变量。

CSS变量形式

CSS 变量当前有两种形式：

变量：

变量，就是拥有合法标识符和合法的值。可以被使用在任意的地方。可以使用var()函数使用变量。例如：var(--example-variable)会返回--example-variable所对应的值。

自定义变量：

使用--*where*的特殊格式作为名字。例如--example-variable: 20px;即使一个css声明语句，意思是将20px赋值给--example-varibale变量。

什么时候需要用CSS变量

在构建大型站点时，设计师通常会面对可维护性的挑战。在这些网页中，所使用的CSS的数量是非常庞大的，并且在许多情况下大量的值会重复使用。例如，在网页中维护一个配色方案，意味着一些颜色在CSS文件中多次出现，并被重复使用。当你修改配色方案时，不论是调整某个颜色或完全修改整个配色，都会成为一个复杂的问题，而单纯查找替换是远远不够的。

如果使用了其他CSS 框架，这种情况会变得更为糟糕。如果要修改颜色，则需要对框架本身进行修改。在这些场合使用 LESS 或 Sass 类似的预处理器是非常有帮助的，但是这种通过添加额外步骤的方式，可能会增加整个网站的复杂性。CSS变量为我们带来一些预处理器的便利，并且不需要额外的编译。

使用CSS变量的优势就是变量名称本身可以包含语义信息，使CSS文件变得易读和理解。比如main-text-color比文档中的#00ff00更容易理解，特别是同样的颜色出现在不同的文件中的时候。

使用示例

声明一个局部变量:

	element {
  --main-bg-color: brown;
} 

声明一个全局变量:

	:root {
  --global-color: #666;
  --pane-padding: 5px 42px;
} 

使用方法很简单，在需要使用的地方调用即可，比如：

局部变量

	element {
  background-color: var(--main-bg-color);
} 

全局变量

	.demo{
   color: var(--global-color);
} 

Var()函数

Var()函数用来读取已经定义好的变量，假如变量foo和bar已经定义好。

	a {
  color: var(--foo);
  text-decoration-color: var(--bar);
} 

Var()函数还可以使用第二个参数，表示变量的默认值。如果该变量不存在，就会使用这个默认值。

	color: var(--foo, #7F583F); 

全局变量可以在任何地方调用。CSS变量的前缀是--，Sass的前缀是$，而Less的前缀是@。

参考链接：
使用CSS变量
CSS 变量教程

表单在网页中经常会被用到，尤其是在注册、登录和搜索模块中。如果不验证用户输入的字符串，很可能会造成SQL注入，甚至会对整个数据库造成不可挽回的风险。要进行表单验证，可以借助javascript和input的pattern属性来限制用户的输入。

什么是SQL注入

SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

更详细的SQL注入介绍，请查看简书 sql注入基础原理（超详细）

如何防止SQL注入

常见的防止SQL注入方法有以下几种：

1. 永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双"-"进行转换等。
2. 永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3. 永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。
4. 不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。
5. 应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装。
6. sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。

使用JS(javascript)进行表单验证已经烂大街，这篇文章不再赘述。

使用input标签的pattern属性进行表单验证

pattern属性用于验证输入字段的模式，需要输出正则表达式来限制。

要使用pattern属性，必须了解正则表达式才能正确的使用。

正则表达式是对字符串操作的一种逻辑公式，就是用事先定义好的一些特定字符、及这些特定字符的组合，组成一个“规则字符串”，这个“规则字符串”用来表达对字符串的一种过滤逻辑。

限制用户只能输入数字：

	<input type="text" value="" name="title" placeholder="请输入要搜索的内容" required="" pattern="[^\d]/g"> 

限制用户只能输入英文字母：

	<input type="text" value="" name="title" placeholder="请输入要搜索的内容" required="" pattern="[/W]/g"> 

限制用户只能输入数字和英文字母：

	<input type="text" value="" name="title" placeholder="请输入要搜索的内容" required="" pattern="[\w]/g"> 

把pattern属性设置为：/[\W]/g时，用户只能输入数字和英文，如果输入的字符串不匹配，则会提示"请与所请求的格式保持一致"(Chrome)。

限制用户只能输入5-20个以字母开头、可带数字、“_”、“.”的字串

	<input type="text" value="" name="title" placeholder="请输入用户名 " required="" pattern="^[a-zA-Z]{1}([a-zA-Z0-9]|[._]){4,19}$"> 

设置了以上规则后即可简单的来限制用户输入。你可以学习更多的正则表达式语法,来为表单设置其他规则。但要做到更高级别的限制，需要在服务端设置字符串过滤和转换。

MySQL 是最流行的关系型数据库管理系统，在 WEB 应用方面 MySQL 是最好的 RDBMS(Relational Database Management System：关系数据库管理系统)应用软件之一。要查询数据库中的数据，需要用到SELECT语句和其他子句，比如WHERE子句和BETWEEN子句等等。

在进行MySQL查询数据演示之前，我们需要新建立一个空数据表，并执行以下SQL语句：

	CREATE TABLE fruits
(
f_id    char(10)         NOT NULL,
s_id    INT            NOT NULL,
f_name  char(255)      NOT NULL,
f_price decimal(8,2)      NOT NULL,
PRIMARY KEY(f_id) 
); 

为了演示如何使用SQL语句的SELECT命令，需要在fruits数据表中执行以下SQL语句：

	INSERT INTO fruits (f_id, s_id, f_name, f_price)
     VALUES('a1', 101,'apple',5.2),
     ('b1',101,'blackberry', 10.2),
     ('bs1',102,'orange', 11.2),
     ('bs2',105,'melon',8.2),
     ('t1',102,'banana', 10.3),
     ('t2',102,'grape', 5.3),
     ('o2',103,'coconut', 9.2),
     ('c0',101,'cherry', 3.2),
     ('a2',103, 'apricot',2.2),
     ('l2',104,'lemon', 6.4),
     ('b2',104,'berry', 7.6),
     ('m1',106,'mango', 15.6),
     ('m2',105,'xbabay', 2.6),
     ('t4',107,'xbababa', 3.6),
     ('m3',105,'xxtt', 11.6),
     ('b5',107,'xxxx', 3.6);  

执行完两段SQL语句后数据库表和记录就会被创建和插入。

基本查询

SELECT语句

SELECT命令可以读取一条或者多条记录。

查询表中所有字段：

	SELECT * FROM fruits; 

查询结果：

列查询

查询fruits表中f_name列所有水果名称，SQL语句如下：

	SELECT f_name FROM fruits; 

该语句使用SELECT声明从fruits表中获取名称为f_name字段下的所有水果名称，指定字段的名称紧跟在SELECT关键字之后，查询结果如下：

如果要查询两列或更多列，需要在第一列后加上逗号分隔，比如：

	SELECT f_name, f_price FROM fruits; 

条件查询

Where子句

Where子句用于向SELECT语句设置特定的查询条件，可以使用AND和OR指定一个或多个条件，也可用于DELETE和UPDATE命令。

查询价格为10.2元的水果的名称，SQL语句如下：

	SELECT f_name, f_price FROM fruits WHERE f_price = 10.2;  

查询结果如下：

查找名称为“apple”的水果的价格，SQL语句如下：

	SELECT f_name, f_price FROM fruits WHERE f_name = 'apple'; 

查询价格小于10的水果的名称，SQL语句如下：

	SELECT f_name, f_price FROM fruits WHERE f_price < 10; 

查询所有为s_id101和102的记录，SQL语句如下：

	SELECT s_id,f_name, f_price FROM fruits WHERE s_id IN (101,102) ORDER BY f_name; 

查询所有s_id不等于101也不等于102的记录，SQL语句如下：

	SELECT s_id,f_name, f_price FROM fruits WHERE s_id NOT IN (101,102) ORDER BY f_name; 

BETWEEN子句

BETWEEN 运算符用于 WHERE 表达式中，选取介于两个值之间的数据范围。BETWEEN 同 AND 一起搭配使用，语法如下：

	WHERE column BETWEEN value1 AND value2 

通常 value1 应该小于 value2。当 BETWEEN 前面加上 NOT 运算符时，表示与 BETWEEN 相反的意思，即选取这个范围之外的值。

查询价格在2.00元到10.20元之间的水果名称和价格，SQL语句如下：

	SELECT f_name, f_price FROM fruits WHERE f_price BETWEEN 2.00 AND 10.20; 

查询价格在2.00元到10.20元之外的水果名称和价格，SQL语句如下：

	SELECT f_name, f_price FROM fruits WHERE f_price NOT BETWEEN 2.00 AND 10.20; 

LIKE子句

LIKE子句用于模糊查询某字段中包含某个字符的记录，可以用"%"来表示任意字符，如果没有写"%"则于"="效果一样。

查询所有以’b’字母开头的水果，SQL语句如下：

	SELECT f_id, f_name FROM fruits WHERE f_name LIKE 'b%'; 

查询f_name中包含字母’g’的记录，SQL语句如下：

	SELECT f_id, f_name FROM fruits WHERE f_name LIKE '%g%'; 

查询以’b’开头，并以’y’结尾的水果的名称，SQL语句如下：

	SELECT f_name FROM fruits WHERE f_name LIKE 'b%y'; 

查询以字母’y’结尾，且’y’前面只有4个字母的记录，SQL语句如下：

	SELECT f_id, f_name FROM fruits WHERE f_name LIKE '----y';