ORACLE 中NDS(原生动态SQL)的几个注意点

对于共享程序使用调用者权限

当a用户的 shema下创建了一个程序，并赋予了这些程序的execute权限为public

当b用户登录到自己的所属shema 使执行如下命令：

sql> a.exec_ddl('create table table_a(id number)');

那么则会在a 用户下创建一个table_a的表，这其实不是我们想要的，我们想要在b用户下建立表，那么需要使用调用者权限模型，在存储过程exec_ddl中声明下

procedure exec_ddl(ddlstring in varchar2)
    AUTHID CURRENT_USER
IS
BEGIN
    EXECUTE IMMEDIATE ddl_string;
END;

动态sql中的异常处理

一个比较好的开发习惯是执行动态sql的时候加入异常处理和跟踪机制

procedure exec_ddl(ddlstring in varchar2) 
	AUTHID CURRENT_USER 
IS
BEGIN
  EXECUTE IMMEDIATE ddl_string;
  
EXCEPTION 
	WHEN OTHERS THEN 
		dbms_output.pub_line('Dynamic SQL Failure : ' || DMBS_UTILITY.FORMAT_ERROR_STACK);
		dbms_output.pub_line('on statement  :" ' || ddl_string '"');  
END;

多使用变量绑定而非字符串拼接

好处如下：

1. 绑定变量性能更高，这样能够利用缓存在SGA中的预解析游标
2. 避免隐式转换和易于维护，一串数字如果当成字符的话需要加to_char,而变量绑定这避免了这个麻烦
3. 安全性高，避免代码注入
4. 代码简洁易懂易于维护