欢迎来到Doc100.Net免费学习资源知识分享平台!
您的位置:首页 > 程序异常 >

动态sql话语

更新时间: 2014-01-05 02:07:38 责任编辑: Author_N1

 

动态sql语句

      当需要根据外部输入的参数来决定要执行的SQL语句时,常常需要动态来构造SQL查询语句,个人觉得用得比较多的地方就是执行搜索查询的SQL语句。对于搜索,可能要根据搜索条件判断来动态执行SQL语句。

  在SQL Server中有两种方式来执行动态SQL语句,分别是exec和sp_executesql。sp_executesql相对而言具有更多的优点,它提供了输入输出接口,可以将输入输出变量直接传递到SQL语句中,而exec只能通过拼接的方式来实现。还有一个优点就是sp_executesql,能够重用执行计划,这就大大提高了执行的性能。所以一般情况下建议选择sp_executesql来执行动态SQL语句。  

下面来看看几种动态执行SQL语句的情况

  1.普通SQL语句

  (1)exec('select * from Student')

  (2)exec sp_executesql N'select * from Student'--此处一定要加上N,否则会报错

  2.带参数的SQL语句

  (1)declare @sql nvarchar(1000)
      declare @userId varchar(100)
      set @userId='0001'
      set @sql='select * from Student where UserID='''+@userId+''''

      exec(@sql)

  (2)declare @sql nvarchar(1000)
    declare @userId varchar(100)
    set @userId='0001'
    set @sql=N'select * from Student where UserID=@userId'
    exec sp_executesql @sql,N'@userId varchar(100)',@userId

     从这个例子中可以看出使用sp_executesql可以直接将参数写在sql语句中,而exec需要使用拼接的方式,这在一定程度上可以防止SQL注入,   因此sp_executesql拥有更高的安全性。另外需要注意的是,存储sql语句的变量必须声明为nvarchar类型的。

  (3)带输出参数的SQL语句

  create procedure sp_GetNameByUserId

  (

      @userId varchar(100),

    @userName varchar(100) output

  )

  as

  declare @sql nvarchar(1000)

  set @sql=N'select @userName=UserName from Student where UserId=@userId'

  exec sp_executesql N'@userId varchar(100),@userName varchar(100) output',@userId,@userName output

   select @userName


1楼lishehe昨天 21:00
安全很重要
上一篇:上一篇
下一篇:下一篇

 

随机推荐程序问答结果

 

 

如对文章有任何疑问请提交到问题反馈,或者您对内容不满意,请您反馈给我们DOC100.NET论坛发贴求解。
DOC100.NET资源网,机器学习分类整理更新日期::2014-01-05 02:07:38
如需转载,请注明文章出处和来源网址:http://www.doc100.net/bugs/t/5933/
本文WWW.DOC100.NET DOC100.NET版权所有。