sqlserver 动态sql执行execute和sp_executesql

最新推荐文章于 2024-04-23 14:51:43 发布
最新推荐文章于 2024-04-23 14:51:43 发布
阅读量3.2w 收藏 24
点赞数 7
分类专栏: DB 文章标签: execute executesql 参数说明 参数列表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/china_shrimp/article/details/66478237
版权

  sqlserver 动态sql的执行,有两个方法execute和 sp_executesql.其中第一个方法execute可以简写为exec. execute方法适合执行没有返回值的动态sql,sp_executesql可以获取到动态sql的返回值.二者比较起来,前者写起来简单,后者功能强大些,但写起来麻烦,使用的时候具体情况具体分析吧.
  在function 中不能使用exec和sp_executesql,但是存储过程中可以使用
  1. execute 的运用

--1.查@psn_code 的申请数量
--但是我们没有在变量中得到数量为多少,只是在查询结果中看到的改数据.
declare @sql nvarchar(2000);
DECLARE @psn_code NVARCHAR(100);
SET @psn_code = 774;
set @sql='select count(*) from proposal where psn_code='+@psn_code;
EXECUTE(@sql);

  2. sp_executesql的运用
  书写语法要点:
  exec sp_executesql @sql,N’参数1 类型1,参数2 类型2,参数3 类型3 OUTPUT’,参数1,参数2,参数3 OUTPUT;
  注意参数前后顺序必须对应好 如下图不同颜色的标记
  这里写图片描述
  
例1

---书写规则
---exec sp_executesql @sql,N'参数1 类型1,参数2 类型2,参数3 类型3 OUTPUT',参数1,参数2,参数3 OUTPUT;
---注意参数顺序必须对应好,习惯上把OUTPUT 参数放在最后
DECLARE @sql NVARCHAR(1000);
DECLARE @tableName NVARCHAR(100);
DECLARE @count INT;
DECLARE @psn_code NVARCHAR(100);
DECLARE @form_code NVARCHAR(100);

SET @psn_code = '774';
SET @form_code = '10005';

set @sql=N'select @count=count(1) from proposal where psn_code= @psn_code and form_code=@form_code';
exec sp_executesql @sql,N'@psn_code NVARCHAR(100),@form_code NVARCHAR(100),@count int OUTPUT',@psn_code,@form_code,@count OUTPUT;
print @count;

这里写图片描述

  在测试过程中,将表名也使用参数绑定去发现错误.脚本如下
  
反例2

--动态查出每个表中有多少条数据
DECLARE @sql NVARCHAR(1000);
DECLARE @tableName NVARCHAR(100);
DECLARE @count INT;
DECLARE @psn_code NVARCHAR(100);
DECLARE @status NVARCHAR(5);

SET @tableName = 'PROPOSAL';
SET @psn_code = '774';
SET @status = '90';

set @sql=N'select @count=count(1) from @tableName where psn_code= @psn_code and status = @status';
--注意这里表名不能是动态的参数,否则报错. 
--参数列表:N'参数1,参数2,参数3 OUTPUT',参数1,参数2,参数3 OUTPUT 前后顺序一定要对的上
EXEC sp_executesql @sql,N'@tableName NVARCHAR(100),@psn_code NVARCHAR(100),@status NVARCHAR(5),@count int output',@tableName,@psn_code,@status,@count OUTPUT;
print @count;

  错误信息如下,暂未找到原因
  这里写图片描述
  

为了解决上面的问题,只能曲线救国了.使用字符串拼接来完成.
例3

--动态查出每个表中有多少条数据
DECLARE @sql NVARCHAR(1000);
DECLARE @tableName NVARCHAR(100);
DECLARE @count INT;
DECLARE @psn_code NVARCHAR(100);
DECLARE @status NVARCHAR(5);

SET @tableName = 'PROPOSAL';
SET @psn_code = '774';
SET @status = '90';

set @sql=N'select @count=count(1) from '+@tableName+ ' where psn_code= @psn_code and status = @status';
--参数列表:N'参数1,参数2,参数3 OUTPUT',参数1,参数2,参数3 OUTPUT 前后顺序一定要对的上
EXEC sp_executesql @sql,N'@psn_code NVARCHAR(100),@status NVARCHAR(5),@count int output',@psn_code,@status,@count OUTPUT;
print @count;

例4: 参数既是入参,也是返回值
此例中会用到自定义函数FN_GETXML ,该函数获取一个简单的XML. 点击FN_GETXML函数获取 此文章开头定义了改函数

--动态修改xml 串里面的一个节点的值
DECLARE @sql NVARCHAR(4000);
DECLARE @xml XML;
DECLARE @xml2 XML;
DECLARE @node NVARCHAR(4000);
DECLARE @value NVARCHAR(4000);
SET @node= '(data/budget_list[1]/PrpManpowers/PrpManpower[1]/ename/text())[1] ';
SET @value = '11111111';
SET @xml = dbo.FN_GETXML();
---@xml 作为in/output
SET @sql = 'SET @xml.modify(''replace value of '+@node +' with "'+@value+'"'''+');';
EXECUTE sp_executesql @sql,N'@xml xml OUTPUT',@xml OUTPUT;
SELECT @xml;
九州虾米
关注
  • 7
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQLSERVER 动态执行SQL sp_executesql与EXEC
weixin_30533797的博客
12-02 181
摘自SQL server帮助文档对大家优查询速度有帮助! 建议使用 sp_executesql 而不要使用 EXECUTE 语句执行字符串。支持参数替换不仅使 sp_executesqlEXECUTE 更通用,而且还使 sp_executesql 更有效,因为它生成的执行计划更有可能被 SQL Server 重新使用。 自包含批处理 sp_executesqlEXECUTE 语句...
sqlserver使用sp_executesql执行动态语句,并在存储过程中获取执行后的结果
BOYGAO12的博客
07-12 2049
sqlserver使用sp_executesql执行动态语句,并在存储过程中获取执行后的结果
Mybatis动态SQL
最新发布
m0_59281987的博客
04-23 837
在页面原型中,列表上方的条件是动态的,是可以不传递的,也可以只传递其中的1个或者2个或者全部。而在我们刚才编写的SQL语句中,我们会看到,我们将三个条件直接写死了。如果页面只传递了参数姓名name 字段,其他两个字段 性别 和 入职时间没有传递,那么这两个参数的值就是null。此时,执行SQL语句为:这个查询结果是不正确的。正确的做法应该是:传递了参数,再组装这个查询条件;如果没有传递参数,就不应该组装这个查询条件。
SQLSERVER中exec 与 exec sp_executesql 的用法及比较
枫的专栏
07-18 6733
SQLSERVER 提供 exec 与 exec sp_executesql (2005版本开始)执行动态sql
动态SQL 并且把返回的值赋给变量
01-03
动态SQL 并且把返回的值赋给变量,sp_executesql动态sql语句基本语法
SQL Server ——动态SQL
chinaherolts2008的博客
07-28 806
动态SQL:code that is executed dynamically。它一般是根据用户输入或外部条件动态组合的SQL语句块。动态SQL能灵活的发挥SQL强大的功能、方便的解决一些其它方法难以解决的问题。相信使用过动态SQL的人都能体会到它带来的便利,然而动态SQL有时候在执行性能(效率)上面不如静态SQL,而且使用不恰当,往往会在安全方面存在隐患(SQL 注入式攻击)。 动态SQL可以通过EXECUTESP_EXECUTESQL这两种方式来执行。(来自MSDN) EXECUTE
今天发现原来function内是不能使用exec()和非扩展存储过程的
HALOZY
11-26 1002
在别人的博客中发现了一个好东西,是coalesce(),作者把它用来透视数据。但是他的用法需要先定义一个变量,再运行一条select语句,最后再运行另一条select语句。我嫌麻烦,想写在一个function内随时调用,然后在其他地方用做子查询。但很遗憾的是,create function内是不能写exec或exec sp_executesql的,只能运行用户自己定义的扩展存储过程。所以只好作罢。
SQLServer:探讨EXEC与sp_executesql的区别详解
09-10
SQL Server中,`EXEC`和`sp_executesql`都是用于执行动态SQL语句的命令,但它们之间存在着显著的差异。这篇文章将深入探讨这两个命令的用途、特性和使用场景。 首先,`EXEC`命令主要用于执行存储过程或动态批处理...
sp_executesql中使用like字句的方法
09-11
SQL Server中,`sp_executesql` 是一个系统存储过程,用于执行动态SQL语句。这个过程在处理参数化查询时非常有用,因为它能够帮助防止SQL注入攻击,并且提高性能,因为SQL Server可以重用编译好的执行计划。然而,...
SQL_EXEC_命令用法
08-26
SQL_EXEC_命令用法,做注入的可以用
系统存储过程,sp_executesql
12-15
`sp_executesql`是SQL Server中的一个系统存储过程,用于执行可以动态生成或重复使用的Transact-SQL语句和批处理。这个过程对于运行基于输入参数动态SQL非常有用,能够提高代码的可重用性和安全性,因为它有助于...
SQL Server中的动态SQL
Hehuyi_In的博客
05-02 4371
动态SQL:code that is executed dynamically。一般是根据用户输入或外部条件动态组合的SQL语句块,能灵活的发挥SQL强大的功能,然而有时候在性能上不如静态SQL,而且使用不恰当,往往会在安全方面存在隐患(SQL 注入式攻击)。 动态SQL可以通过EXECUTESP_EXECUTESQL两种方式执行EXECUTE 执行 Transact-SQL 中的...
EXEC SP_EXECUTESQL 和EXEC (@SQL) 不能在Function中使用
04-02 2168
<br /> <br />EXEC SP_EXECUTESQL @SQL,@SQL_RTN_PARAMS,@OUT_ICOUNT=@ICOUNT OUTPUT<br />EXEC  (@SQL)<br /> <br />这两个函数不能在Function中调用,即使成功建立了,<br />运行时也报如下错误:<br /> <br />関数内から実行できるのは関数と一部の拡張ストアド プロシージャだけです。<br />存在しないデータを読み取ろうとしました。
使用sp_executesql存储过程执行动态SQL查询
culuo4781的博客
07-20 1107
The sp_executesql stored procedure is used to execute dynamic SQL queries in SQL Server. A dynamic SQL query is a query in string format. There are several scenarios where you have an SQL q...
sp_executesql中使用like不生效的问题解决
Leckun的专栏
04-19 2450
sp_executesql中使用like或者not like,不知道什么原因,like不生效而且好像查询的结果是完全错误的。 exec sp_executesql N'select * from T_TableName where p_name like ''@Name'' order by p_id',N'@Name nvarchar(20)',@Name=N'%测试%' 正确写法: 如
存储过程中执行动态Sql语句
weixin_30367169的博客
05-20 1159
  MSSQL为我们提供了两种动态执行SQL语句的命令,分别是EXEC和sp_executesql;通常,sp_executesql则更具有优势,它提供了输入输出接口,而EXEC没有。还有一个最大的好处就是利用sp_executesql,能够重用执行计划,这就大大提供了执行性能,还可以编写更安全的代码。EXEC在某些情况下会更灵活。除非您有令人信服的理由使用EXEC,否侧尽量使用sp_execut...
mssql 动态SQL语句基本语法
weixin_30323961的博客
09-07 135
1 、普通SQL语句可以用Exec执行 eg: Select * from tableName Exec('select * from tableName') Exec sp_executesql N'select * from tableName' -- 请注意字符串前一定要加N 2、字段名,表名,数据库名之类作为变量时,必须用动态SQL eg: declar...
sp_executesql
09-07
### 回答1: sp_executesql是一个SQL Server系统存储过程,可以用于执行动态SQL语句并返回结果。它的语法如下: ``` sp_executesql [@stmt =] N'sql语句', [@params =] N'参数定义', [@param1 =] '值1', ... ``` 其中,@stmt是要执行SQL语句,@params是一个可选的字符串,用于定义参数参数定义是一个以逗号分隔的字符串列表,每个参数由其名称、数据类型和方向组成。如果SQL语句中包含参数占位符(例如@parameter_name),则必须在@params字符串中定义该参数。然后,可以在@stmt中使用参数占位符来引用这些参数。 例如,以下代码演示了如何使用sp_executesql执行动态SQL语句,其中包含一个参数占位符: ``` DECLARE @sql NVARCHAR(MAX) = N'SELECT * FROM my_table WHERE id = @id' DECLARE @id INT = 1 EXEC sp_executesql @sql, N'@id INT', @id ``` 在上面的示例中,@sql包含要执行SQL语句,其中包含一个参数占位符@id。然后,使用sp_executesql执行该语句,并将参数@id传递给它。这将返回my_table表中id为1的行。 ### 回答2: sp_executesql是用于在SQL Server数据库中执行动态SQL语句的系统存储过程。它提供了一种安全、高效的方式来执行动态生成的SQL语句,可以将参数传递给动态SQL语句,以避免SQL注入攻击,并且可以在执行相同的SQL语句时重用执行计划,提高性能。 sp_executesql的基本语法如下: sp_executesql [@stmt =] N'sql语句', [@params =] N'参数定义', [@param1 =] 值1, [@param2 =] 值2, ... 其中,@stmt是动态SQL语句的字符串,@params是定义参数的字符串,参数定义使用@参数名和数据类型的形式。 通过使用sp_executesql,可以将参数传递给动态SQL语句,以避免SQL注入攻击。例如,可以在动态SQL语句中使用参数@name来执行查询操作: DECLARE @name NVARCHAR(50) = N'John' DECLARE @sql NVARCHAR(1000) SET @sql = N'SELECT * FROM Customers WHERE CustomerName = @name' EXEC sp_executesql @sql, N'@name NVARCHAR(50)', @name 使用sp_executesql的另一个优点是,它可以在执行相同的SQL语句时重用执行计划,提高性能。例如,可以使用sp_executesql执行一个频繁执行动态SQL语句: DECLARE @sql NVARCHAR(1000) SET @sql = N'SELECT * FROM Orders WHERE OrderDate >= @startDate' EXEC sp_executesql @sql, N'@startDate DATETIME', '2022-01-01' EXEC sp_executesql @sql, N'@startDate DATETIME', '2022-02-01' 在执行第二个EXEC sp_executesql语句时,由于执行计划已经在第一个执行中生成,数据库引擎可以重用该计划,从而节省了资源和时间。 总之,sp_executesqlSQL Server数据库中的一个重要工具,可以安全、高效地执行动态SQL语句,并通过参数化和执行计划的重用提高性能。 ### 回答3: sp_executesql是一个存储过程,用于执行动态SQL语句。它可以接收动态生成的SQL语句以及参数列表作为输入,并执行这些语句。这个存储过程的语法如下: sp_executesql [@stmt =] N'sql语句', -- 需要执行动态SQL语句 [@params =] N'参数定义列表', -- 参数列表的定义,包括参数的名称、数据类型和长度等信息 [@param1 =] '值1', -- 参数1 [@param2 =] '值2', -- 参数2 ... [@paramN =] '值N' -- 参数N 通过使用sp_executesql存储过程,我们可以在运行时动态生成SQL语句并将参数传递给它,从而实现更灵活的查询和操作数据库。使用sp_executesql的好处之一是可以防止SQL注入攻击,因为参数是作为参数传递给SQL语句,而不是直接拼接到字符串中。 在使用sp_executesql时,我们首先需要提供要执行动态SQL语句,并使用参数占位符(如@ParamName)来表示需要传递的参数。然后,我们可以定义参数列表,包括参数的名称、数据类型和长度等信息。最后,我们可以通过传递参数的值来执行动态SQL语句。 例如,假设我们需要根据传入的城市名称查询员工信息。我们可以使用sp_executesql执行以下动态SQL语句: DECLARE @city NVARCHAR(50) SET @city = '北京' DECLARE @sql NVARCHAR(1000) SET @sql = N'SELECT * FROM Employee WHERE City = @CityParam' EXEC sp_executesql @sql, N'@CityParam NVARCHAR(50)', @CityParam = @city 通过这种方式,我们可以根据传入的城市名称动态生成SQL语句,并将参数传递给它,从而实现根据不同的城市查询员工信息的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值