SQL Server 中 EXEC 与 SP_EXECUTESQL 的区别

1、 性能：官方描述，sp_executesql stmt 参数中的 Transact-SQL 语句或批处理在执行 sp_executesql 语句时才编译。随后，将编译 stmt 中的内容，并将其作为执行计划运行。该执行计划独立于名为sp_executesql 的批处理的执行计划。sp_executesql 批处理不能引用调用 sp_executesql 的批处理中声明的变量。sp_executesql 批处理中的本地游标或变量对调用 sp_executesql的批处理是不可见的。对数据库上下文所做的更改只在 sp_executesql 语句结束前有效。如果只更改了语句中的参数值，则 sp_executesql 可用来代替存储过程多次执行 Transact-SQL 语句。因为 Transact-SQL 语句本身保持不变，仅参数值发生变化，所以 SQL Server 查询优化器可能重复使用首次执行时所生成的执行计划。

说通俗一点就是：如果用 EXEC 执行一条动态 SQL 语句，由于每次传入的参数不一样，所以每次生成的 @sql 就不一样，这样每执行一次SQL SERVER 就必须重新将要执行的动态 Sql 重新编译一次 。但是SP_EXECUTESQL 则不一样，由于将数值参数化，要执行的动态 Sql 永远不会变化，只是传入的参数的值在变化，那每次执行的时候就不用重新编译，速度和效率自然有所提升。

2、从上面的例子我们已经能够看出 SP_EXECUTESQL 命令比 EXEC 命令更灵活，因为它提供一个接口，该接口及支持输入参数也支持输出参数。

3、EXEC 执行纯动态SQL，执行时可能无法使用预编译的执行计划，关键是不安全，可以导致 SQL 注入 ，而 SP_EXECUTESQL 执行参数化动态 SQL ,执行时能使用预编译的执行计划，而且保存存储过程时就可以确定可以使用的预编译的执行计划，而且最重要的是“安全”，天然免疫SQL 注入。

 

declare @a int
declare @b int 
declare @sql_1 nvarchar(MAX)
declare @sql_2 nvarchar(MAX)

set @sql_1='declare @c int select @c=100 select @c as A的值'
exec (@sql_1)

set @sql_2='select @d=200'
exec sp_executesql @sql_2,N'@d int out',@b output
select @b as B的值

quotename()的主要作用就是在存储过程中，给列名、表名等加个[]、’’等以保证sql语句能正常执行。

需要注意的是：

1、要求动态Sql和动态Sql参数列表必须是NVARCHAR

2、动态Sql的参数列表与外部提供值的参数列表顺序必需一致

3、一旦使用了 '@name = value' 形式之后，所有后续的参数就必须以 '@name = value' 的形式传递。