使用exec和sp_executesql动态执行SQL语句(转载)

最新推荐文章于 2024-03-14 09:53:45 发布
最新推荐文章于 2024-03-14 09:53:45 发布
阅读量337 收藏 1
点赞数
原文链接:http://www.cnblogs.com/OpenCoder/p/10771382.html
版权
当需要根据外部输入的参数来决定要执行的SQL语句时,常常需要动态来构造SQL查询语句,个人觉得用得比较多的地方就是分页存储过程和执行搜索查询的SQL语句。一个比较通用的分页存储过程,可能需要传入表名,字段,过滤条件,排序等参数,而对于搜索的话,可能要根据搜索条件判断来动态执行SQL语句。

在SQL Server中有两种方式来执行动态SQL语句,分别是exec和sp_executesql。sp_executesql相对而言具有更多的优点,它提供了输入输出接口,可以将输入输出变量直接传递到SQL语句中,而exec只能通过拼接的方式来实现。 还有一个优点就是sp_executesql,能够重用执行计划,这就大大提高了执行的性能。所以一般情况下建议选择sp_executesql来执行动态SQL语句。

使用sp_executesql需要注意的一点就是,它后面执行的SQL语句必须是Unicode编码的字符串,所以在声明存储动态SQL语句的变量时必须声明为nvarchar类型,否则在执行的时候会报“过程需要类型为 'ntext/nchar/nvarchar' 的参数 '@statement'”的错误,如果是使用sp_executesql直接执行SQL语句,则必须在前面加上大写字母N,以表明后面的字符串是使用Unicode类型编码的。

下面来看看几种动态执行SQL语句的情况
 
1.普通SQL语句 
exec('select * from Student')
exec sp_executesql N'select * from Student'--此处一定要加上N,否则会报错

 

2.带参数的SQL语句

declare @sql nvarchar(1000)
declare @userId varchar(100)
set @userId='0001'
set @sql='select * from Student where UserID='''+@userId+''''
exec(@sql)

 

declare @sql nvarchar(1000)
declare @userId varchar(100)
set @userId='0001'
set @sql=N'select * from Student where UserID=@userId'
exec sp_executesql @sql,N'@userId varchar(100)',@userId

从这个例子中可以看出使用sp_executesql可以直接将参数写在sql语句中,而exec需要使用拼接的方式,这在一定程度上可以防止SQL注入,因此sp_executesql拥有更高的安全性。另外需要注意的是,存储sql语句的变量必须声明为nvarchar类型的。

 

3.带输出参数的SQL语句

create procedure [dbo].[sp_GetNameByUserId]
(
    @userId varchar(100),
    @userName varchar(100) output
)
as
begin

    declare @sql nvarchar(1000)
    set @sql=N'select @userName=UserName from Student where UserId=@userId'
    exec sp_executesql @sql,N'@userId varchar(100),@userName varchar(100) output',@userId,@userName output
    select @userName

end

 

 

原文链接

 

转载于:https://www.cnblogs.com/OpenCoder/p/10771382.html

anyi2404
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL Server EXECsp_executesql的区别
11-19
SQL Server EXECsp_executesql的区别
SQL_EXEC_命令用法
08-26
SQL_EXEC_命令用法,做注入的可以用
EXEC sp_executesqlEXEC 的区别、使用场景和例子
最新发布
nbsaas-boot基于Request-Response的企业级快速开发框架
03-14 433
SQL Server 中,EXEC和都可以用来执行动态 SQL 语句,但它们有一些区别和适用场景。
SQL SERVER EXECSP_EXECUTESQL
u013400314的博客
10-28 4242
所谓的参数化SQL,就是用变量当做占位符,通过 EXEC sp_executesql执行的时候将参数传递进去SQL中,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这样的话,缺点,1,对于这种方式,也有一点不好的地方,就是拼凑的字符串处理过程中,调试具体的SQL语句的时候,参数是直接拼凑在SQL文本中的,不能直接执行,要手动将占位参数替换成具体的参数值。第二,保证执行计划的重用,因为使用占位符来拼凑SQL的,SQL参数的值不同并导致最终执行SQL文本不同。2、执行动态的批处理。
存储过程中执行动态Sql语句
weixin_30367169的博客
05-20 1126
  MSSQL为我们提供了两种动态执行SQL语句的命令,分别是EXECsp_executesql;通常,sp_executesql则更具有优势,它提供了输入输出接口,而EXEC没有。还有一个最大的好处就是利用sp_executesql,能够重用执行计划,这就大大提供了执行性能,还可以编写更安全的代码。EXEC在某些情况下会更灵活。除非您有令人信服的理由使用EXEC,否侧尽量使用sp_execut...
SQL Server 中 EXEC全称executeSP_EXECUTESQL动态执行sql代码语句 的区别
橙-极纪元-cplvfx-JJY.Cheng
03-10 4069
SQL Server 中 EXEC全称executeSP_EXECUTESQL动态执行sql代码语句 的区别
動態語句的使用方法(exec/sp_executesql)
热门推荐
中国风
10-06 1万+
--动态语句语法/******************************************************************************************************************************************************动态语句语法:exec/sp_executesql语法整理人:中国风(Roy)日期
SQL语句-exec执行
gjtao1130的专栏
07-22 5360
动态sql语句基本语法 1 :普通SQL语句可以用Exec执行 eg:   Select * fromtableName         Exec('select * from tableName')         Exec sp_executesql N'select * fromtableName'    --请注意字符串前一定要加N 2:字段名,表名,数据库名之类作为变量时,必须
execsp_executesql
weixin_34391854的博客
12-18 57
sqlserver中的execsp_executesql都能执行动态sql语句和存储过程,但exec用法较为简单,不能带参数,也没有返回参数。 sp_executesql则显得功能更加完善,可以用输入参数和输出参数,下面这个例子记录了sp_executesql的用法。declare @sql nvarchar(1000), @oazaName varchar(20), @cnt int ...
SQL:exec sp_executesql 用法
Geovin Du Dream Park
07-16 657
--這種是無效的過程 declare @sql nvarchar(500), @where nvarchar(500),@i nvarchar(64),@p nvarchar(50),@id int set @id=5 set @sql='select '+@p+'=AreaCode from AdministrativeAreaList where AreaID='+cast(@id as v
Sql Server exec sp_executesql
08-30 392
sp_executesql 提供了输入输出接口,而EXEC没有。 sp_executesql能够重用执行计划,提高执行性能,还可以编写更安全的代码。 declare @TSql nvarchar(MAX),@DT1 datetime,@DT2 nvarchar(10),@id bigint set @id=1 set @TSql=N'select @DT1=getdate(),@DT2=con...
SQLServer:探讨EXECsp_executesql的区别详解
12-15
摘要1,EXEC使用2,sp_executesql使用MSSQL为我们提供了两种动态执行SQL语句的命令,分别是EXECsp_executesql;通常,sp_executesql则更具有优势,它提供了输入输出接口,而EXEC没有。还有一个最大的好处就是利用...
系统存储过程,sp_executesql
12-15
 sp_executesql 执行可以多次重用或动态生成的 Transact-SQL 语句或批处理。Transact-SQL 语句或批处理可以包含嵌入参数。 语法 sp_executesql [@stmt =] stmt [ {, [@params =] N’@parameter_name...
SQL Server 中 EXECSP_EXECUTESQL 的区别.doc
08-30
MSSQL为我们提供了两种动态执行SQL语句的命令,分别是 EXECSP_EXECUTESQL ,我们先来看一下两种方式的用法。 先建立一个表,并添加一些数据来进行演示: 复制代码 CREATE TABLE t_student( Id INT NOT NULL, ...
sp_executesql使用like字句的方法
01-19
declare @LikeSql nvarchar(32);–定义一个like变量,如果是存储过程,此处可以存储过程的参数 set @LikeSql = ‘someword%’;...—使用@LikePar变量进行参数化 exec sp_executesql @SelectSql ,N’@LikePa
sql.rar_exec select_select_sql select from exec_普通sql大全
09-22
Exec sp_executesql N select * from tableName -- 请注意字符串前一定要加N 2:字段名,表名,数据库名之类作为变量时,必须用动态SQL eg: declare @fname varchar(20) set @fname = FiledName Select @...
sql--关于execsp_execute
weixin_34279061的博客
04-17 171
sql:execsp_excutesql的比较 execsp_execute都可以执行存储过程和批处理动态sql语句,以下所属均是关于批处理动态sql语句方面。 一、关于输入参数与输出参数 1、使用EXEC时,如果想访问变量,即有输入参数,那么必须把该变量串联到动态构建的代码字符串中。 2、当我们想要执行下语句输出count(*)时: 若要使用EXEC,则必须要利用建立临...
动态语句的使用方法(exec/sp_executesql)
zhangsir199的专栏
01-20 437
转自:http://www.cnblogs.com/twfx118/archive/2009/09/10/1564248.html --方法1查询表改为动态 select * from sysobjects exec(select ID,Name from sysobjects) exec sp_executesql Nselect ID,Name from sys
exec sp_executesql
04-11
Q: 'exec sp_executesql'是什么意思? A: 'exec sp_executesql'是一种在 SQL Server 中执行动态 SQL 语句的方法。它可以传递参数,提高查询的性能,并防止 SQL 注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值