摘要:
MSSQL为我们提供了两种动态执行sql语句的命令:EXEC 和 SP_EXECUTESQL。通常SP_EXECUTESQL更具优势,因为它提供了输入输出的接口,且能够重用执行计划,大大提高执行效率,而且不会导致SQL注入,比较安全,这些优势都是EXEC所不具有的,EXEC通常用来执行存储过程。所以,除非有充分的理由,否则在执行动态SQL的时候尽量使用SP_EXECUTESQL。
用法举例:
-----------EXEC:
DECLARE @TableName VARCHAR(50),@Sql NVARCHAR(MAX),@OrderID INT;
SET @TableName = 'Orders';
SET @OrderID = 10251;
SET @sql = 'SELECT * FROM '+QUOTENAME(@TableName) +'WHERE OrderID = '+CAST(@OrderID AS VARCHAR(10))+' ORDER BY ORDERID DESC'
EXEC(@sql);
注:注意用EXEC的时候要有括号且括号中只允许有一个字符串变量,也可以是由多个字符串拼接而成的,例如:
EXEC(@sql+@sql2+@sql3);
但是如下就会报错。
EXEC('SELECT TOP('+ CAST(@TopCount AS VARCHAR(10)) +')* FROM '+QUOTENAME(@TableName) +' ORDER BY ORDERID DESC');
所以最佳实践是把所有代码构造到一个字符串变量中,然后EXEC(变量)。
-----------SP_EXECUTESQL:
先来看一下SP_EXECUTESQL的语法:
sp_executesql [ @stmt = ] stmt
[
{, [@params=] N'@parameter_name data_type [ OUT | OUTPUT ][,...n]' }
{, [ @param1 = ] 'value1' [ ,...n ] }
]
[ @stmt= ] statement
包含 Transact-SQL 语句或批处理的 Unicode 字符串。@stmt 必须是 Unicode 常量或 Unicode 变量。 不允许使用更复杂的 Unicode 表达式(例如使用 + 运算符连接两个字符串)。不允许使用字符常量。 如果指定了 Unicode 常量,则必须使用 N 作为前缀, 字符串的大小仅受可用数据库服务器内存限制, 在 64 位服务器中,字符串大小限制为 2 GB,即 nvarchar(max) 的最大大小。
[ @params= ] N'@parameter_namedata_type [ ,... n ] '
一个字符串,它包含 @stmt 中嵌入的所有参数的定义。 字符串必须是 Unicode 常量或 Unicode 变量。 每个参数定义由参数名称和数据类型组成。必须在 @params 中定义 @stmt中指定的每个参数。 如果 @stmt 中的 Transact-SQL 语句或批处理不包含参数,则不需要使用 @params。 该参数的默认值为 NULL。
[ @param1= ] 'value1'
参数字符串中定义的第一个参数的值。 该值可以是 Unicode 常量,也可以是 Unicode 变量。 必须为 @stmt 中包含的每个参数提供参数值。 如果 @stmt 中的 Transact-SQL 语句或批处理没有参数,则不需要这些值。
注意:参数传递可以选择'@name = value'形式或者直接写'value', 但是一旦前面使用了 '@name = value' 形式,所有后续的参数就必须以 '@name = value' 的形式传递。如果需要传出某个参数的值,需要在[ @param1= ] 'value1'后面加上OUTPUT。
举例如下:
DECLARE @OUT_Nums INT,@IN_Score INT,@Sql NVARCHAR(MAX)
SET @IN_Score = 90
SET @sql = 'SELECT @Nums=COUNT(1) FROM t_student WHERE Score >= @Score'
EXEC SP_EXECUTESQL @sql,N'@Nums INT OUT,@Score INT',@OUT_Nums OUTPUT,@IN_Score
SELECT @OUT_Nums AS '人数'