在 SQL Server 中,EXEC 和 sp_executesql 都可以用来执行动态 SQL 语句,但它们有一些区别和适用场景。
区别
-
EXEC:EXEC是一个 T-SQL 语句,用于执行指定的字符串作为 SQL 语句或存储过程名称。它会立即执行给定的字符串,并且每次执行都会生成一个新的执行计划。EXEC不支持参数化查询,因此不能防止 SQL 注入攻击。 -
sp_executesql:sp_executesql是一个系统存储过程,用于执行动态 SQL 语句。与EXEC不同的是,sp_executesql支持参数化查询,可以提高性能和安全性,因为 SQL Server 可以缓存已编译的执行计划以供重复使用。
使用场景
-
EXEC适用于简单的动态 SQL 语句,不需要参数化查询的场景。 -
sp_executesql适用于需要动态构建 SQL 语句,并且希望使用参数化查询以提高性能和防止 SQL 注入攻击的场景。
例子
使用 EXEC 执行简单动态 SQL 语句
sql
DECLARE @sql NVARCHAR(MAX);
SET @sql = N'SELECT * FROM Users';
EXEC(@sql);使用 sp_executesql 执行动态 SQL 语句,并传入参数
sql
DECLARE @sql NVARCHAR(MAX);
DECLARE @paramDefinition NVARCHAR(MAX);
DECLARE @UserId INT;
SET @UserId = 1;
SET @sql = N'SELECT * FROM Users WHERE Id = @UserId';
SET @paramDefinition = N'@UserId INT';
EXEC sp_executesql @sql, @paramDefinition, @UserId;在这个例子中,我们使用了 sp_executesql 来执行动态 SQL 语句,并传入了一个参数 @UserId。通过参数化查询,我们可以安全地传递参数,避免了 SQL 注入攻击的风险。