执行带嵌入参数的sql

最新推荐文章于 2023-07-18 11:31:02 发布
最新推荐文章于 2023-07-18 11:31:02 发布
阅读量556 收藏
点赞数
分类专栏: Sql Server Study 文章标签: sql sqlserver 数据库服务器 user null 存储
通常执行sql语句,大家用的都是exec,exec功能强大,但不支持嵌入参数,sp_executesql解决了这个问题。抄一段sqlserver帮助:
sp_executesql
执行可以多次重用或动态生成的 Transact-SQL 语句或批处理。Transact-SQL 语句或批处理可以包含嵌入参数。
语法
sp_executesql [ @stmt =] stmt [{, [@params =] N'@parameter_name  data_type [,...n]' }
{, [@param1 =] 'value1' [,...n] }
]
参数
[ @stmt =] stmt
包含 Transact-SQL 语句或批处理的 Unicode 字符串, stmt 必须是可以隐式转换为 ntext 的 Unicode 常量或变量。不允许使用更复杂的 Unicode 表达式(例如使用 + 运算符串联两个字符串)。不允许使用字符常量。如果指定常量,则必须使用 N 作为前缀。例如,Unicode 常量 N'sp_who' 是有效的,但是字符常量 'sp_who' 则无效。字符串的大小仅受可用数据库服务器内存限制。
stmt 可以包含与变量名形式相同的参数,例如: 
N'SELECT * FROM Employees WHERE EmployeeID = @IDParameter'
stmt 中包含的每个参数在 @params 参数定义列表和参数值列表中均必须有对应项。
[ @params =] N'@ parameter_name  data_type [ ,... n] '
字符串,其中包含已嵌入到 stmt 中的所有参数的定义。该字符串必须是可以隐式转换为 ntext 的 Unicode 常量或变量。每个参数定义均由参数名和数据类型组成。 n 是表明附加参数定义的占位符。 stmt 中指定的每个参数都必须在 @params 中定义。如果 stmt 中的 Transact-SQL 语句或批处理不包含参数,则不需要 @params。该参数的默认值为 NULL。
[ @ param1 =] ' value1 '
参数字符串中定义的第一个参数的值。该值可以是常量或变量。必须为 stmt 中包含的每个参数提供参数值。如果 stmt 中包含的 Transact-SQL 语句或批处理没有参数,则不需要值。
n
附加参数的值的占位符。这些值只能是常量或变量,而不能是更复杂的表达式,例如函数或使用运算符生成的表达式。
返回代码值
0(成功)或 1(失败)
结果集
从生成 SQL 字符串的所有 SQL 语句返回结果集。


例子(感谢邹建提供)
declare @user varchar(1000)
declare @moTable varchar(20)

select @moTable = 'MT_10'




declare @sql nvarchar(4000)  --定义变量,注意类型


set @sql='select @user = count(distinct userid)  from '+@moTable  --为变量赋值
--执行@sql中的语句
exec sp_executesql @sql
  ,N'@user varchar(1000) out'  --表示@sql中的语句包含了一个输出参数
  ,@user out --和调用存储过程差不多,指定输出参数值
print @user

  
 
crazykiller
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SqlServer参数化查询之where in和like实现详解
09-11
在这种情况下,`%`通配符可以嵌入参数值中,使得查询能够正确地进行模糊匹配。但要注意,过度使用`LIKE`可能会导致索引利用率降低,尤其是当`LIKE`出现在列名前时(例如,`WHERE Column LIKE '%value%'`)。 总的...
ASP+ACCESSSQL注入网站源码
05-20
对于初学者来说,"ASP+ACCESSSQL注入网站源码"是一个理想的实践平台,可以深入理解SQL注入的工作原理。你可以通过分析源码,找出其中的漏洞,比如查看是否使用了动态构造SQL语句,或者是否存在用户输入直接拼接到...
执行嵌入参数sql——sp_executesql
11-10 2888
通常执行sql语句,大家用的都是exec,exec功能强大,但不支持嵌入参数,sp_executesql解决了这个问题。抄一段sqlserver帮助:sp_executesql执行可以多次重用或动态生成的 Transact-SQL 语句或批处理。Transact-SQL 语句或批处理可以包含嵌入参数。语法sp_executesql [@stmt =] stmt[    {, [@p
参数存储过程sp_executesql
EtaZhou的专栏
04-21 4090
示例:exec sp_executesql         NSELECT Role.UserID FROM Role WHERE Role.UserID = @paramUserID        , N@paramUserID nvarchar(4000)        , @paramUserID = N123457  说明:sp_executesql执行可以多次重用或动态生成的
Sql例子Sp_ExecuteSql 参数
weixin_34292924的博客
04-12 187
Declare @i int, @projectCount int Declare @Sqlstr NVarchar(400) --参数 Declare @projectid Varchar(20) Declare @SubmitOrNot Varchar(20) declare @NotSubmitReason Varchar(1000) declare @NotSubmit...
执行参数SQL, sp_executesql
weixin_34329187的博客
11-06 148
转自 http://www.cnblogs.com/reinstallsys/archive/2009/06/15/1503743.htmlSyntax sp_executesql [ @stmt = ] stmt[     {, [@params=] N'@parameter_name data_type [ OUT | OUTPUT ][,...n]' }      {, [ @...
sp_executesql 与 参数
ruoge2007的专栏
04-22 2987
总结了一下 sp_executesql 与 参数 的关系  sp_executesql  并不能通过参数列表指定任意部分,在普通sql语句中是变量的可以指定,是常量的不能指定。在sp_executesql 执行的字符串中, 下面称为spStr,有些是在设置sql字符串前就必须指定的,有些是以变量的形式指定的。跟sql语句相一致,这里语句称为 sqlStr,凡是在sqlStr语句中必须要声明为常
sql注入#sql靶场
最新发布
11-02
SQL注入是一种常见的网络安全漏洞,它发生在应用程序未能正确过滤或验证用户输入的数据,导致恶意SQL代码可以被嵌入到查询中并被执行SQL靶场通常是指用于安全培训、测试和研究SQL注入攻击的环境,它可以帮助开发者...
嵌入SQL语言.doc
01-14
总的来说,嵌入SQL语言是将数据库操作集成到应用程序中的强大工具,尤其适用于需要直接在代码中执行复杂查询或更新操作的场景。理解并掌握嵌入SQL的原理和使用方法,能够帮助开发者更高效地设计和实现与数据库交互的...
不同数据库嵌入SQL讲解
10-22
编译部分则将嵌入 SQL 的源代码转换为可执行的形式,这通常涉及到预处理器的工作。 1.2 静态 SQL 和动态 SQL - 静态 SQL:在编译时已经确定的 SQL 语句,其内容在程序执行前已知,效率较高,但不适用于处理数据变化...
简单使用sp_executesql 参数
weixin_30432579的博客
09-26 275
declare @totalCount1 int output declare @id1 varchar(10) declare @strsql1 nvarchar(max)=N'' declare @strsql2 nvarchar(max)=N'' select @strsql1=N' SELECT * FROM Table1 where id=@id2 ' select @strs...
执行参数Sql语句(防止注入)
xbc1213的博客
11-22 557
执行参数sql语句的安全方式(防止注入)string sql="select count(*) from Table_name where name=@name and passWord=@passWord"; using(SqlConnection con=new SqlConnection(string str));//str为连接字符串 { using(SqlCommand cmd=n
SQLSERVER中exec 与 exec sp_executesql 的用法及比较
枫的专栏
07-18 6726
SQLSERVER 提供 exec 与 exec sp_executesql (2005版本开始)执行动态sql
Exec 执行参数命令 sp_executesql 的使用
学习asp.net......
03-23 1825
表test1  字段SQLCom  的一条记录是 Select * from Remark  where SystemID=@SystemID CREATE PROCEDURE   Getremak (@SystemIDd Int)ASdeclare @sql nvarchar(200)select @sql=SQLCom from Test1       execute  sp_
含有参数sql拼接_SQL内部拼接执行SQL语句时,实现变量参数
weixin_36070568的博客
02-05 645
execsp_ExecuteSql执行SQL语句拼接起是比较麻烦,如果关联的表多拼接过程是很容易出错的,下面这方法非常的好用,而且简单直观if exists(select * from sysobjects wherename="porc_SeekProttoryProject")dropproc SeekProttoryProjectgocreate proc SeekProttor...
嵌入SQL语言
Edson121的博客
05-28 4333
Java对数据库进行操作的SQL字符串就是一个嵌入式的SQL语言,Java被称作宿主语言,即主语言。那么程序如何知道哪个是Java程序语言,哪个是SQL语言呢? 区分嵌入SQL语言和主语言的方法是作语法标记,不同的主语言对嵌入SQL语言有不同的语法格式。如何让程序识别呢?通过预编译方法进行处理,DBMS使用预处理程序对源程序进行扫描,识别出嵌入SQL语句,编译成主语言的函数调用语句进行调用。一
参数sql语句
weixin_42430576的博客
02-02 5298
using System; using System.Collections.Generic; using System.Data.SqlClient; using System.Linq; using System.Text; using System.Threading.Tasks; namespace 参数sql语句 { class Program { static void Main(...
SQL注入详解:执行系统命令与渗透测试
SQL注入的产生是因为Web应用程序在处理用户输入时没有进行充分的验证和过滤,使得攻击者可以将恶意SQL代码嵌入到合法的查询中,进而执行非授权的操作。 2. SQL注入攻击原理 攻击者利用Web应用程序的漏洞,通过输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值