EXEC sp_executesql 与 EXEC 的区别、使用场景和例子

在 SQL Server 中,EXECsp_executesql 都可以用来执行动态 SQL 语句,但它们有一些区别和适用场景。

区别

  • EXECEXEC 是一个 T-SQL 语句,用于执行指定的字符串作为 SQL 语句或存储过程名称。它会立即执行给定的字符串,并且每次执行都会生成一个新的执行计划。EXEC 不支持参数化查询,因此不能防止 SQL 注入攻击。

  • sp_executesqlsp_executesql 是一个系统存储过程,用于执行动态 SQL 语句。与 EXEC 不同的是,sp_executesql 支持参数化查询,可以提高性能和安全性,因为 SQL Server 可以缓存已编译的执行计划以供重复使用。

使用场景

  • EXEC 适用于简单的动态 SQL 语句,不需要参数化查询的场景。

  • sp_executesql 适用于需要动态构建 SQL 语句,并且希望使用参数化查询以提高性能和防止 SQL 注入攻击的场景。

例子

使用 EXEC 执行简单动态 SQL 语句

sql 复制代码
DECLARE @sql NVARCHAR(MAX);
SET @sql = N'SELECT * FROM Users';
EXEC(@sql);

使用 sp_executesql 执行动态 SQL 语句,并传入参数

sql 复制代码
DECLARE @sql NVARCHAR(MAX);
DECLARE @paramDefinition NVARCHAR(MAX);
DECLARE @UserId INT;

SET @UserId = 1;
SET @sql = N'SELECT * FROM Users WHERE Id = @UserId';
SET @paramDefinition = N'@UserId INT';

EXEC sp_executesql @sql, @paramDefinition, @UserId;

在这个例子中,我们使用了 sp_executesql 来执行动态 SQL 语句,并传入了一个参数 @UserId。通过参数化查询,我们可以安全地传递参数,避免了 SQL 注入攻击的风险。

相关推荐
这个DBA有点耶7 小时前
NULL不是空——数据库里最反直觉的设计,90%新人踩过的坑
数据库·mysql·代码规范
这个DBA有点耶9 小时前
AI写的SQL跑崩了生产库,这锅谁背?
数据库·人工智能·程序员
镜舟科技10 小时前
Databricks 再提 LTAP,AI 时代的数据底座为何重回大一统叙事?
数据库·架构·agent
Databend11 小时前
从湖仓升级为 Agent 时代的数据控制面,Snowflake 和 Databricks 有哪些布局
大数据·数据库·agent
ClouGence14 小时前
SQL Server CDC 能放到 Always On 备库读吗?一文讲透原理与实践
数据库·sql server
先吃饱再说1 天前
存储的进化:从 MySQL 到浏览器缓存,数据到底住在哪?
数据库
Nturmoils1 天前
字段太多看不全,ksql 的展开模式和输出控制怎么用
数据库·后端
Databend1 天前
Agent 轨迹分析与归因的数据工程实践
大数据·数据库·agent
这个DBA有点耶1 天前
SQL改写进阶:标量子查询的“隐形代价”与消除实战
数据库·mysql·架构
smallyoung1 天前
数据库乐观锁深度解析:MySQL、PostgreSQL 实战 + Spring Boot 集成指南
数据库·mysql·postgresql