exec 与 exec sp_executesql 的用法及比较

最新推荐文章于 2024-10-10 15:21:14 发布
最新推荐文章于 2024-10-10 15:21:14 发布
阅读量1.2w 收藏 14
点赞数
分类专栏: sqlserver 文章标签: sqlserver exec sp_executesql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/johnf_nash/article/details/78868263
版权

exec 与 exec sp_executesql  都可以用于执行动态sql。下面先介绍它们的用法,然后再对它们进行比较

(下面用到的数据库表来自SQLSERVER 的示例数据库 AdventureWorks2008)

一、exec 与 exec sp_executesql  用法

1. 动态sql(使用字符串拼接的方式)

declare @FName2 varchar(20) = 'Ken',
        @PeronType varchar(10) = 'GC',
        @sql nvarchar(1000);
--  不推荐这样使用

exec('select * from Person.Person where FirstName =''' + @FName2 + ''' and PersonType= ''' + @PeronType + '''')
-- sp_executesql 不能接收含有变量拼接的sql字符串。下面的sql执行会报错
-- exec sp_executesql 'select * from Person.Person where FirstName =''' + @FName2 + ''' and PersonType= ''' + @PeronType + ''''
-- 不推荐这样使用:无法防止SQL注入,无法重用执行计划,拼接麻烦且容易出错(字符串类型的需要单引号括起来)
set @sql =  'select * from Person.Person where FirstName =''' + @FName2 + ''' and PersonType= ''' + @PeronType + ''''
exec sp_executesql @sql

2. 带有输入参数时的使用

declare @FName2 varchar(20) = 'Ken',
	@PeronType varchar(10) = 'GC',
	@sql nvarchar(1000);

-- 推荐先使用变量存放拼接的sql,再使用exec执行sql
set @sql =  'select * from Person.Person where FirstName =''' + @FName2 + ''' and PersonType= ''' + @PeronType + ''''
exec(@sql)

-- 推荐这样使用(可以防止SQL注入,可以重用执行计划)
-- 此处输入参数要加上N,不然会报错:过程需要类型为 'ntext/nchar/nvarchar' 的参数 '@params
set @sql = 'select * from Person.Person where FirstName =@FName and PersonType=@PersonType'
exec sp_executesql @sql, N'@FName varchar(20), @PersonType varchar(10)', @FName2, @PeronType
注:exec 只能使用拼接字符串的方式,不支持使用输入参数,而且执行计划不能重用。因此,一般情况下,
推荐使用 exec sp_executesql 的方式,而不是exec。

3. 带有输入参数时的使用

declare @sql nvarchar(1000),
	@cnt int = -1;


-- 使用 exec
-- exec sql内无法访问sql之外定义的变量,直接使用下面的会报错: 必须声明变量 "@cnt"。外部也无法访问到 exec sql里定义的变量
--无法直接将值传出,只能通过select 变量/insert into exec等方式看到值
--exec('select @cnt=count(1) from Person.Person; select @cnt')
exec('declare @cnt int; select @cnt=count(1) from Person.Person')
print @cnt  -- -1, 无法访问 exec 里取到的  @cnt 的值




set @sql = 'select @cnt=count(1) from Person.Person'
exec sp_executesql @sql, N'@cnt int output', @cnt output --此处必须加上ouput,不然无法取到值
print @cnt

4. 带有输入输出参数时的使用

declare @sql nvarchar(1000),
	@cnt int = -1,
	@FName varchar(20) = 'Ken';


exec('declare @cnt int; select @cnt=count(1) from Person.Person where FirstName = ''' + @FName + ''';  select @cnt')
print @cnt  -- -1

set @sql = 'select @cnt=count(1) from Person.Person where FirstName = @FName'
exec sp_executesql @sql, N'@cnt int output, @FName varchar(20)', @cnt output, @FName --此处必须加上ouput,不然无法取到值
print @cnt

5. insert into exec/exec sp_executesql 的使用

declare @tmp table (
	BusinessEntityID int,
	FirstName varchar(50),
	LastName varchar(50)
)

insert into @tmp
exec sp_executesql N'select top 10 BusinessEntityID, FirstName, LastName from Person.Person'

insert into @tmp
exec(N'select top 10 BusinessEntityID, FirstName, LastName from Person.Person')

select * from @tmp

二、exec 与 exec sp_executesql 比较

1. exec 与 exec sp_executesql 都可以用于执行动态sql

2. sp_executesql 后面需要直接使用表示拼接后的sql的变量或者sql常量字符串,后面不能直接使用常量+变量拼接的语句
    如下面的语句会报错 
declare @FName2 varchar(20) = 'Ken',
	@PeronType varchar(10) = 'GC',
	@sql nvarchar(1000);

exec sp_executesql 'select * from Person.Person where FirstName =''' + @FName2 + ''' and PersonType= ''' + @PeronType + ''''
    这种情况下,需要先将sql拼凑后的结果放入一个变量中,然后使用 exec sp_executesql 执行;或者使用入参的方式来实现。推荐使用下面的方式 
declare @FName2 varchar(20) = 'Ken',
	@PeronType varchar(10) = 'GC',
	@sql nvarchar(1000);
set @sql = 'select * from Person.Person where FirstName = @FName2 and PersonType = @PeronType'
exec sp_executesql @sql, N'@FName varchar(20), @PersonType varchar(10)', @FName2, @PeronType

3. sp_executesql要求动态Sql和动态Sql参数列表必须是Nvarchar, 动态Sql的参数列表与外部提供值的参数列表顺序必需一致,且不能使用变量。

4. exec 查询不能使用sql外面定义的变量,查询的结果也不容易进行使用。而exec sp_executesql 可以使用入参和出参的方式很方便的获取或者返回内容。

5. sp_executesql可以建立带参数的查询字符串还可以重用执行计划。
    通过下面的示例来了解一下
    首先是 exec 
DBCC FREEPROCCACHE  -- 清空执行计划缓存

DECLARE @Sql NVARCHAR(MAX),@ID INT; 
SET @ID = 15; -- 15使用之后,换成10, 12等再次执行
SET @sql = 'SELECT * FROM Person.Person WHERE BusinessEntityID = '+CAST(@ID AS VARCHAR(10))+' ORDER BY BusinessEntityID DESC'
EXEC(@sql); 

SELECT cacheobjtype,objtype,usecounts,sql FROM sys.syscacheobjects WHERE sql NOT LIKE '%cach%' AND sql NOT LIKE '%sys.%'
    使用exec 执行三次后,查询到的执行计划缓存如下

    通过上面的截图可以看到,执行三次生成了三次执行计划。
    
    下面,来看一下exec sp_executesql  
DBCC FREEPROCCACHE

DECLARE @Sql NVARCHAR(MAX),@ID INT; 
SET @ID = 17; 
SET @sql = 'SELECT * FROM Person.Person WHERE BusinessEntityID = @ID ORDER BY BusinessEntityID DESC'
exec sp_executesql @sql, N'@ID int', @ID

SELECT cacheobjtype,objtype,usecounts,sql FROM sys.syscacheobjects WHERE sql NOT LIKE '%cach%' AND sql NOT LIKE '%sys.%'
    同样执行三次之后,查询到的执行计划缓存如下
    
   通过上面的截图可以看到,只生成了一次执行计划。

6. sp_executesql可以建立带参数的查询字符串可以防止sql注入 
-- 下面的SQL注入
DECLARE @Sql NVARCHAR(MAX),@FName varchar(20); 
SET @FName = '''ken'' or 1=1'; 
SET @sql = 'SELECT * FROM Person.Person WHERE FirstName = ' + @FName + ' ORDER BY BusinessEntityID DESC'
exec sp_executesql @sql

--下面的可以防止SQL注入
DECLARE @Sql NVARCHAR(MAX),@FName varchar(20); 
SET @FName = '''ken'' or 1=1'; 
SET @sql = 'SELECT * FROM Person.Person WHERE FirstName = @FName ORDER BY BusinessEntityID DESC'
exec sp_executesql @sql, N'@FName varchar(20)', @FName


xxc1605629895
关注
专栏目录
execSQLexecuteInsert执行效率之差
RickyStudio的专栏
03-21 2274
看到一遍关于SQLiteDatabase 的execSQL方法和SQLiteStatement的executeInsert的执行效率之比。文中最终得出结论后者比前者效率高,带着疑惑的心态让验证了一把却得出了截然相反的结论。无论在数据量大小或则是否开启事务操作上SQLiteDatabase 的execSQL的执行效率远比SQLiteStatement的executeInsert高。 以下就是我
SQLServer:探讨EXECsp_executesql的区别详解
12-15
SQL Server中,`EXEC` 和 `sp_executesql` 都是用来动态执行SQL语句的命令,但它们之间存在着显著的区别。这篇文章将详细解析这两个命令的用途、优缺点以及如何选择适合的使用场景。 首先,`EXEC` 命令主要用于...
動態語句的使用方法(exec/sp_executesql)
热门推荐
中国风
10-06 1万+
--动态语句语法/******************************************************************************************************************************************************动态语句语法:exec/sp_executesql语法整理人:中国风(Roy)日期
Excel中使用SQL语句的四种方法
最新发布
王敏的专栏
10-10 2895
总结在 Excel 中使用 SQL 语句的四种方法,各个方法都有各自的适用场景,可以选择自己熟悉的方式,或者用自己觉得简单的方式。本文以在 Excel 中操作 MS SQL 数据库的数据为例进行说明。MS SQL 的数据如下,使用微软 SQLExpress 版本。
SQLServer : EXECsp_executesql的区别
weixin_30709809的博客
11-02 235
摘要 1,EXEC的使用 2,sp_executesql的使用 MSSQL为我们提供了两种动态执行SQL语句的命令,分别是EXECsp_executesql;通常,sp_executesql则更具有优势,它提供了输入输出接口,而EXEC没有。还有一个最大的好处就是利用sp_executesql,能够重用执行计划,这就大大提供了执行性能(对于这个我在后面的例子...
execsp_executesql
weixin_34391854的博客
12-18 76
sqlserver中的execsp_executesql都能执行动态的sql语句和存储过程,但exec用法较为简单,不能带参数,也没有返回参数。 sp_executesql则显得功能更加完善,可以用输入参数和输出参数,下面这个例子记录了sp_executesql用法。declare @sql nvarchar(1000), @oazaName varchar(20), @cnt int ...
SQL:exec sp_executesql 用法
Geovin Du Dream Park
07-16 684
--這種是無效的過程 declare @sql nvarchar(500), @where nvarchar(500),@i nvarchar(64),@p nvarchar(50),@id int set @id=5 set @sql='select '+@p+'=AreaCode from AdministrativeAreaList where AreaID='+cast(@id as v
系统存储过程,sp_executesql
12-15
`sp_executesql`是SQL Server中的一个系统存储过程,用于执行可以动态生成或重复使用的Transact-SQL语句和批处理。这个过程对于运行基于输入参数的动态SQL非常有用,能够提高代码的可重用性和安全性,因为它有助于...
sp_executesql中使用like字句的方法
01-19
declare @LikeSql nvarchar(32);–定义一个like变量,如果是存储过程,此处可以存储过程的参数 set @LikeSql = ‘someword%’;...—使用@LikePar变量进行参数化 exec sp_executesql @SelectSql ,N’@LikePa
SQL Server 中 EXECSP_EXECUTESQL 的区别.doc
08-30
SQL Server中,动态执行SQL语句有两个主要的命令:`EXEC`和`SP_EXECUTESQL`。两者都用于在运行时执行SQL语句,但它们之间存在显著的区别。 一、EXEC `EXEC`命令可以执行存储过程或者动态SQL语句。当我们需要执行...
存储过程中执行动态Sql语句
weixin_30367169的博客
05-20 1195
  MSSQL为我们提供了两种动态执行SQL语句的命令,分别是EXECsp_executesql;通常,sp_executesql则更具有优势,它提供了输入输出接口,而EXEC没有。还有一个最大的好处就是利用sp_executesql,能够重用执行计划,这就大大提供了执行性能,还可以编写更安全的代码。EXEC在某些情况下会更灵活。除非您有令人信服的理由使用EXEC,否侧尽量使用sp_execut...
execsp_executesql语法的区别详解
08-05 1814
动态语句语法: --方法1查询表改为动态 select * from sysobjects exec('select ID,Name from sysobjects') exec sp_executesql N'select ID,Name from sysobje
Sql Server exec sp_executesql
08-30 428
sp_executesql 提供了输入输出接口,而EXEC没有。 sp_executesql能够重用执行计划,提高执行性能,还可以编写更安全的代码。 declare @TSql nvarchar(MAX),@DT1 datetime,@DT2 nvarchar(10),@id bigint set @id=1 set @TSql=N'select @DT1=getdate(),@DT2=con...
sql--关于execsp_execute
weixin_34279061的博客
04-17 197
sql:execsp_excutesql比较 execsp_execute都可以执行存储过程和批处理动态sql语句,以下所属均是关于批处理动态sql语句方面。 一、关于输入参数与输出参数 1、使用EXEC时,如果想访问变量,即有输入参数,那么必须把该变量串联到动态构建的代码字符串中。 2、当我们想要执行下语句输出count(*)时: 若要使用EXEC,则必须要利用建立临...
使用execsp_executesql动态执行SQL语句(转载)
04-25 376
当需要根据外部输入的参数来决定要执行的SQL语句时,常常需要动态来构造SQL查询语句,个人觉得用得比较多的地方就是分页存储过程和执行搜索查询的SQL语句。一个比较通用的分页存储过程,可能需要传入表名,字段,过滤条件,排序等参数,而对于搜索的话,可能要根据搜索条件判断来动态执行SQL语句。 在SQL Server中有两种方式来执行动态SQL语句,分别是execsp_executesql...
SQL SERVER EXECSP_EXECUTESQL
u013400314的博客
10-28 4817
所谓的参数化SQL,就是用变量当做占位符,通过 EXEC sp_executesql执行的时候将参数传递进去SQL中,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这样的话,缺点,1,对于这种方式,也有一点不好的地方,就是拼凑的字符串处理过程中,调试具体的SQL语句的时候,参数是直接拼凑在SQL文本中的,不能直接执行,要手动将占位参数替换成具体的参数值。第二,保证执行计划的重用,因为使用占位符来拼凑SQL的,SQL参数的值不同并导致最终执行的SQL文本不同。2、执行动态的批处理。
html5executesql函数,动态语句的使用方法(exec/sp_executesql)
weixin_33701379的博客
06-22 322
--方法1查询表改为动态select * from sysobjectsexec('select ID,Name from sysobjects')exec sp_executesql N'select ID,Name from sysobjects'--多了一个N为unicode--方法2:字段名,表名,数据库名之类作为变量时,用动态SQLdeclare @FName varchar(20)se...
动态语句的使用方法(exec/sp_executesql)
zhangsir199的专栏
01-20 460
转自:http://www.cnblogs.com/twfx118/archive/2009/09/10/1564248.html --方法1查询表改为动态 select * from sysobjects exec(select ID,Name from sysobjects) exec sp_executesql Nselect ID,Name from sys
SQL动态查询基础:Execsp_executesql
在使用`sp_executesql`时,如果SQL语句包含变量,必须确保变量类型与实际数据类型匹配,如例子中的`NVARCHAR(1000)`。 4. 输出参数: 在动态SQL中,可以使用输出参数(Output parameter)来获取查询的结果。例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值