exec 与 exec sp_executesql 的用法及比较

最新推荐文章于 2024-03-14 09:53:45 发布
最新推荐文章于 2024-03-14 09:53:45 发布
阅读量1.2w 收藏 14
点赞数
分类专栏: sqlserver 文章标签: sqlserver exec sp_executesql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/johnf_nash/article/details/78868263
版权

exec 与 exec sp_executesql  都可以用于执行动态sql。下面先介绍它们的用法,然后再对它们进行比较

(下面用到的数据库表来自SQLSERVER 的示例数据库 AdventureWorks2008)

一、exec 与 exec sp_executesql  用法

1. 动态sql(使用字符串拼接的方式)

declare @FName2 varchar(20) = 'Ken',
        @PeronType varchar(10) = 'GC',
        @sql nvarchar(1000);
--  不推荐这样使用

exec('select * from Person.Person where FirstName =''' + @FName2 + ''' and PersonType= ''' + @PeronType + '''')
-- sp_executesql 不能接收含有变量拼接的sql字符串。下面的sql执行会报错
-- exec sp_executesql 'select * from Person.Person where FirstName =''' + @FName2 + ''' and PersonType= ''' + @PeronType + ''''
-- 不推荐这样使用:无法防止SQL注入,无法重用执行计划,拼接麻烦且容易出错(字符串类型的需要单引号括起来)
set @sql =  'select * from Person.Person where FirstName =''' + @FName2 + ''' and PersonType= ''' + @PeronType + ''''
exec sp_executesql @sql

2. 带有输入参数时的使用

declare @FName2 varchar(20) = 'Ken',
	@PeronType varchar(10) = 'GC',
	@sql nvarchar(1000);

-- 推荐先使用变量存放拼接的sql,再使用exec执行sql
set @sql =  'select * from Person.Person where FirstName =''' + @FName2 + ''' and PersonType= ''' + @PeronType + ''''
exec(@sql)

-- 推荐这样使用(可以防止SQL注入,可以重用执行计划)
-- 此处输入参数要加上N,不然会报错:过程需要类型为 'ntext/nchar/nvarchar' 的参数 '@params
set @sql = 'select * from Person.Person where FirstName =@FName and PersonType=@PersonType'
exec sp_executesql @sql, N'@FName varchar(20), @PersonType varchar(10)', @FName2, @PeronType
注:exec 只能使用拼接字符串的方式,不支持使用输入参数,而且执行计划不能重用。因此,一般情况下,
推荐使用 exec sp_executesql 的方式,而不是exec。

3. 带有输入参数时的使用

declare @sql nvarchar(1000),
	@cnt int = -1;


-- 使用 exec
-- exec sql内无法访问sql之外定义的变量,直接使用下面的会报错: 必须声明变量 "@cnt"。外部也无法访问到 exec sql里定义的变量
--无法直接将值传出,只能通过select 变量/insert into exec等方式看到值
--exec('select @cnt=count(1) from Person.Person; select @cnt')
exec('declare @cnt int; select @cnt=count(1) from Person.Person')
print @cnt  -- -1, 无法访问 exec 里取到的  @cnt 的值




set @sql = 'select @cnt=count(1) from Person.Person'
exec sp_executesql @sql, N'@cnt int output', @cnt output --此处必须加上ouput,不然无法取到值
print @cnt

4. 带有输入输出参数时的使用

declare @sql nvarchar(1000),
	@cnt int = -1,
	@FName varchar(20) = 'Ken';


exec('declare @cnt int; select @cnt=count(1) from Person.Person where FirstName = ''' + @FName + ''';  select @cnt')
print @cnt  -- -1

set @sql = 'select @cnt=count(1) from Person.Person where FirstName = @FName'
exec sp_executesql @sql, N'@cnt int output, @FName varchar(20)', @cnt output, @FName --此处必须加上ouput,不然无法取到值
print @cnt

5. insert into exec/exec sp_executesql 的使用

declare @tmp table (
	BusinessEntityID int,
	FirstName varchar(50),
	LastName varchar(50)
)

insert into @tmp
exec sp_executesql N'select top 10 BusinessEntityID, FirstName, LastName from Person.Person'

insert into @tmp
exec(N'select top 10 BusinessEntityID, FirstName, LastName from Person.Person')

select * from @tmp

二、exec 与 exec sp_executesql 比较

1. exec 与 exec sp_executesql 都可以用于执行动态sql

2. sp_executesql 后面需要直接使用表示拼接后的sql的变量或者sql常量字符串,后面不能直接使用常量+变量拼接的语句
    如下面的语句会报错 
declare @FName2 varchar(20) = 'Ken',
	@PeronType varchar(10) = 'GC',
	@sql nvarchar(1000);

exec sp_executesql 'select * from Person.Person where FirstName =''' + @FName2 + ''' and PersonType= ''' + @PeronType + ''''
    这种情况下,需要先将sql拼凑后的结果放入一个变量中,然后使用 exec sp_executesql 执行;或者使用入参的方式来实现。推荐使用下面的方式 
declare @FName2 varchar(20) = 'Ken',
	@PeronType varchar(10) = 'GC',
	@sql nvarchar(1000);
set @sql = 'select * from Person.Person where FirstName = @FName2 and PersonType = @PeronType'
exec sp_executesql @sql, N'@FName varchar(20), @PersonType varchar(10)', @FName2, @PeronType

3. sp_executesql要求动态Sql和动态Sql参数列表必须是Nvarchar, 动态Sql的参数列表与外部提供值的参数列表顺序必需一致,且不能使用变量。

4. exec 查询不能使用sql外面定义的变量,查询的结果也不容易进行使用。而exec sp_executesql 可以使用入参和出参的方式很方便的获取或者返回内容。

5. sp_executesql可以建立带参数的查询字符串还可以重用执行计划。
    通过下面的示例来了解一下
    首先是 exec 
DBCC FREEPROCCACHE  -- 清空执行计划缓存

DECLARE @Sql NVARCHAR(MAX),@ID INT; 
SET @ID = 15; -- 15使用之后,换成10, 12等再次执行
SET @sql = 'SELECT * FROM Person.Person WHERE BusinessEntityID = '+CAST(@ID AS VARCHAR(10))+' ORDER BY BusinessEntityID DESC'
EXEC(@sql); 

SELECT cacheobjtype,objtype,usecounts,sql FROM sys.syscacheobjects WHERE sql NOT LIKE '%cach%' AND sql NOT LIKE '%sys.%'
    使用exec 执行三次后,查询到的执行计划缓存如下

    通过上面的截图可以看到,执行三次生成了三次执行计划。
    
    下面,来看一下exec sp_executesql  
DBCC FREEPROCCACHE

DECLARE @Sql NVARCHAR(MAX),@ID INT; 
SET @ID = 17; 
SET @sql = 'SELECT * FROM Person.Person WHERE BusinessEntityID = @ID ORDER BY BusinessEntityID DESC'
exec sp_executesql @sql, N'@ID int', @ID

SELECT cacheobjtype,objtype,usecounts,sql FROM sys.syscacheobjects WHERE sql NOT LIKE '%cach%' AND sql NOT LIKE '%sys.%'
    同样执行三次之后,查询到的执行计划缓存如下
    
   通过上面的截图可以看到,只生成了一次执行计划。

6. sp_executesql可以建立带参数的查询字符串可以防止sql注入 
-- 下面的SQL注入
DECLARE @Sql NVARCHAR(MAX),@FName varchar(20); 
SET @FName = '''ken'' or 1=1'; 
SET @sql = 'SELECT * FROM Person.Person WHERE FirstName = ' + @FName + ' ORDER BY BusinessEntityID DESC'
exec sp_executesql @sql

--下面的可以防止SQL注入
DECLARE @Sql NVARCHAR(MAX),@FName varchar(20); 
SET @FName = '''ken'' or 1=1'; 
SET @sql = 'SELECT * FROM Person.Person WHERE FirstName = @FName ORDER BY BusinessEntityID DESC'
exec sp_executesql @sql, N'@FName varchar(20)', @FName


xxc1605629895
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysqlexec语句,sqlserverEXECsp
weixin_35009700的博客
03-23 2475
sqlserverEXECsp_executesql使用介绍 MSSQL 为我们提供了两种动态执行SQL 语句的命令,分别是EXECsp_executesql;通常,sp_executesql则更具有优势,它提供了输入输出接口,而EXEC没有。还有一个最大的好处就是利用sp_executesql,能够重用执行计划,sqlserverEXECsp_executesql使用介绍MSSQL...
SQL Server EXECsp_executesql的区别
11-19
SQL Server EXECsp_executesql的区别
SQL SERVER EXECSP_EXECUTESQL
u013400314的博客
10-28 4384
所谓的参数化SQL,就是用变量当做占位符,通过 EXEC sp_executesql执行的时候将参数传递进去SQL中,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这样的话,缺点,1,对于这种方式,也有一点不好的地方,就是拼凑的字符串处理过程中,调试具体的SQL语句的时候,参数是直接拼凑在SQL文本中的,不能直接执行,要手动将占位参数替换成具体的参数值。第二,保证执行计划的重用,因为使用占位符来拼凑SQL的,SQL参数的值不同并导致最终执行的SQL文本不同。2、执行动态的批处理。
SQL Server 中 EXEC全称executeSP_EXECUTESQL动态执行sql代码语句 的区别
橙-极纪元-cplvfx-JJY.Cheng
03-10 4248
SQL Server 中 EXEC全称executeSP_EXECUTESQL动态执行sql代码语句 的区别
EXEC sp_executesqlEXEC 的区别、使用场景和例子
最新发布
nbsaas-boot基于Request-Response的企业级快速开发框架
03-14 748
SQL Server 中,EXEC和都可以用来执行动态 SQL 语句,但它们有一些区别和适用场景。
存储过程中执行动态Sql语句
weixin_30367169的博客
05-20 1155
  MSSQL为我们提供了两种动态执行SQL语句的命令,分别是EXECsp_executesql;通常,sp_executesql则更具有优势,它提供了输入输出接口,而EXEC没有。还有一个最大的好处就是利用sp_executesql,能够重用执行计划,这就大大提供了执行性能,还可以编写更安全的代码。EXEC在某些情况下会更灵活。除非您有令人信服的理由使用EXEC,否侧尽量使用sp_execut...
SQLSERVERexecexec sp_executesql用法比较
枫的专栏
07-18 6482
SQLSERVER 提供 execexec sp_executesql (2005版本开始)执行动态sql
SQLServer:探讨EXECsp_executesql的区别详解
12-15
摘要1,EXEC的使用2,sp_executesql的使用MSSQL为我们提供了两种动态执行SQL语句的命令,分别是EXECsp_executesql;通常,sp_executesql则更具有优势,它提供了输入输出接口,而EXEC没有。还有一个最大的好处就是利用...
系统存储过程,sp_executesql
12-15
系统存储过程,sp_executesql 语言在这里! sp_executesql 执行可以多次重用或动态生成的 Transact-SQL 语句或批处理。Transact-SQL 语句或批处理可以包含嵌入参数。 语法 sp_executesql [@stmt =] stmt...
sp_executesql中使用like字句的方法
01-19
declare @LikeSql nvarchar(32);–定义一个like变量,如果是存储过程,此处可以存储过程的参数 set @LikeSql = ‘someword%’;...—使用@LikePar变量进行参数化 exec sp_executesql @SelectSql ,N’@LikePa
sql--关于execsp_execute
weixin_34279061的博客
04-17 177
sql:execsp_excutesql比较 execsp_execute都可以执行存储过程和批处理动态sql语句,以下所属均是关于批处理动态sql语句方面。 一、关于输入参数与输出参数 1、使用EXEC时,如果想访问变量,即有输入参数,那么必须把该变量串联到动态构建的代码字符串中。 2、当我们想要执行下语句输出count(*)时: 若要使用EXEC,则必须要利用建立临...
sp_executesql介绍和使用
热门推荐
枫的专栏
03-30 1万+
sp_executesql
使用execsp_executesql动态执行SQL语句(转载)
04-25 346
当需要根据外部输入的参数来决定要执行的SQL语句时,常常需要动态来构造SQL查询语句,个人觉得用得比较多的地方就是分页存储过程和执行搜索查询的SQL语句。一个比较通用的分页存储过程,可能需要传入表名,字段,过滤条件,排序等参数,而对于搜索的话,可能要根据搜索条件判断来动态执行SQL语句。 在SQL Server中有两种方式来执行动态SQL语句,分别是execsp_executesql...
sqlserverEXECsp_executesql使用介绍
weixin_34228617的博客
04-25 1255
sqlserverEXECsp_executesql使用介绍 MSSQL为我们提供了两种动态运行SQL语句的命令,各自是EXECsp_executesql;通常,sp_executesql则更具有优势,它提供了输入输出接口,而EXEC没有。另一个最大的优点就是利用sp_executesql。可以重用运行计划。这就大大提供了运行性能(对于这个我在后面的样例中会详加说明),还可以编写...
Sql Server exec sp_executesql
08-30 401
sp_executesql 提供了输入输出接口,而EXEC没有。 sp_executesql能够重用执行计划,提高执行性能,还可以编写更安全的代码。 declare @TSql nvarchar(MAX),@DT1 datetime,@DT2 nvarchar(10),@id bigint set @id=1 set @TSql=N'select @DT1=getdate(),@DT2=con...
SQLServer : EXECsp_executesql的区别
tlammon的专栏
02-11 487
摘要 1,EXEC的使用 2,sp_executesql的使用 MSSQL为我们提供了两种动态执行SQL语句的命令,分别是EXECsp_executesql;通常,sp_executesql则更具有优势,它提供了输入输出接口,而EXEC没有。还有一个最大的好处就是利用sp_executesql,能够重用执行计划,这就大大提供了执行性能(对于这个我在后面的例子中会详加说明),还可以编写更安全的代码。EXEC在某些情况下会更灵活。除非您有令人信服的理由使用EXEC,否侧尽量使用sp_e...
exec sp_executesql
04-11
Q: 'exec sp_executesql'是什么意思? A: 'exec sp_executesql'是一种在 SQL Server 中执行动态 SQL 语句的方法。它可以传递参数,提高查询的性能,并防止 SQL 注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值