动态sql语句
2013-09-30 21:45
190 查看
当需要根据外部输入的参数来决定要执行的SQL语句时,常常需要动态来构造SQL查询语句,个人觉得用得比较多的地方就是执行搜索查询的SQL语句。对于搜索,可能要根据搜索条件判断来动态执行SQL语句。
在SQL Server中有两种方式来执行动态SQL语句,分别是exec和sp_executesql。sp_executesql相对而言具有更多的优点,它提供了输入输出接口,可以将输入输出变量直接传递到SQL语句中,而exec只能通过拼接的方式来实现。还有一个优点就是sp_executesql,能够重用执行计划,这就大大提高了执行的性能。所以一般情况下建议选择sp_executesql来执行动态SQL语句。
下面来看看几种动态执行SQL语句的情况
1.普通SQL语句
(1)exec('select * from Student')
(2)exec sp_executesql N'select * from Student'--此处一定要加上N,否则会报错
2.带参数的SQL语句
(1)declare @sql nvarchar(1000)
declare @userId varchar(100)
set @userId='0001'
set @sql='select * from Student where UserID='''+@userId+''''
exec(@sql)
(2)declare @sql nvarchar(1000)
declare @userId varchar(100)
set @userId='0001'
set @sql=N'select * from Student where UserID=@userId'
exec sp_executesql @sql,N'@userId varchar(100)',@userId
从这个例子中可以看出使用sp_executesql可以直接将参数写在sql语句中,而exec需要使用拼接的方式,这在一定程度上可以防止SQL注入, 因此sp_executesql拥有更高的安全性。另外需要注意的是,存储sql语句的变量必须声明为nvarchar类型的。
(3)带输出参数的SQL语句
create procedure sp_GetNameByUserId
(
@userId varchar(100),
@userName varchar(100) output
)
as
declare @sql nvarchar(1000)
set @sql=N'select @userName=UserName from Student where UserId=@userId'
exec sp_executesql N'@userId varchar(100),@userName varchar(100) output',@userId,@userName output
select @userName
在SQL Server中有两种方式来执行动态SQL语句,分别是exec和sp_executesql。sp_executesql相对而言具有更多的优点,它提供了输入输出接口,可以将输入输出变量直接传递到SQL语句中,而exec只能通过拼接的方式来实现。还有一个优点就是sp_executesql,能够重用执行计划,这就大大提高了执行的性能。所以一般情况下建议选择sp_executesql来执行动态SQL语句。
下面来看看几种动态执行SQL语句的情况
1.普通SQL语句
(1)exec('select * from Student')
(2)exec sp_executesql N'select * from Student'--此处一定要加上N,否则会报错
2.带参数的SQL语句
(1)declare @sql nvarchar(1000)
declare @userId varchar(100)
set @userId='0001'
set @sql='select * from Student where UserID='''+@userId+''''
exec(@sql)
(2)declare @sql nvarchar(1000)
declare @userId varchar(100)
set @userId='0001'
set @sql=N'select * from Student where UserID=@userId'
exec sp_executesql @sql,N'@userId varchar(100)',@userId
从这个例子中可以看出使用sp_executesql可以直接将参数写在sql语句中,而exec需要使用拼接的方式,这在一定程度上可以防止SQL注入, 因此sp_executesql拥有更高的安全性。另外需要注意的是,存储sql语句的变量必须声明为nvarchar类型的。
(3)带输出参数的SQL语句
create procedure sp_GetNameByUserId
(
@userId varchar(100),
@userName varchar(100) output
)
as
declare @sql nvarchar(1000)
set @sql=N'select @userName=UserName from Student where UserId=@userId'
exec sp_executesql N'@userId varchar(100),@userName varchar(100) output',@userId,@userName output
select @userName
相关文章推荐
- 动态T-SQL语句常見問題與解決方案
- MyBatis之动态SQL语句
- SAP HANA存储过程中的动态SQL语句(Dynamic SQL)
- 模拟和改进ibatis中对sql语句的动态替换
- MyBatis动态SQL语句
- 关于Hibernate利用@DynamicInsert和@DynamicUpdate生成动态SQL语句 -- 如何提高效率
- MySQL 存储过程中执行动态 SQL 语句
- MyBatis动态SQL语句
- 动态SQL— —模糊查询语句(存储过程)中关于百分号%的处理
- MyBatis 和 ibatis的动态SQL语句配置符号,不兼容大于号、小于号等特殊符号问题
- Oracle数据库中下拉列表动态添加年份SQL语句
- Hibernate利用@DynamicInsert和@DynamicUpdate生成动态SQL语句
- sqlserver 动态sql语句执行
- PreparedStatement 与 Statement 的区别 —— 理解动态SQL语句的执行机制
- 动态组织SQl语句:助手类
- 学习SQL应知道的动态SQL语句基本语法
- 不使用动态sql语句,正确书写case when中的null处理
- 性能测试:动态生成SQL语句 VS 存储过程
- MyBatis学习 之 三、动态SQL语句
- 使用动态SQL语句实现简单的行列转置(动态产生列)