exec和sp_executesql

最新推荐文章于 2024-03-14 09:53:45 发布
最新推荐文章于 2024-03-14 09:53:45 发布
阅读量69 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库 c#
原文链接:http://www.cnblogs.com/xiashengwang/p/4172362.html
本文对比了SQL Server中的exec和sp_executesql的功能,详细介绍了sp_executesql的使用方法及其如何防止SQL注入攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

sqlserver中的exec和sp_executesql都能执行动态的sql语句和存储过程,但exec用法较为简单,不能带参数,也没有返回参数。

sp_executesql则显得功能更加完善,可以用输入参数和输出参数,下面这个例子记录了sp_executesql的用法。

declare @sql nvarchar(1000),
@oazaName varchar(20),
@cnt int
set @oazaName = 'abc'

set @sql = 'select @count=count(*) from dbo.Aza where oazaName like ''%'' +  @oazaName + ''%'''
print @sql
-- 注意like查询时用变量该如何拼接 '%' + 
-- 输出SQL语句:select @count=count(*) from dbo.Aza where oazaName like '%' +  @oazaName + '%'
exec sp_executesql 
--这里定义sql文
@stmt=@sql, 
--这里书写@sql中用到的变量,多个变量时,将全部定义放到@params变量里
@params =N'@oazaName as varchar(20),@count as int output',
--下面的赋值语句个数由@params定义的变量个数决定,
--注意输出变量的定义和赋值语句处都要加output关键字
@oazaName ='飯',
@count =@cnt output
-- 查看输出变量的值,感觉@cnt是传的地址(类似与C#的ref关键字)
select @cnt

对于带参数的查询,可以防止sql注入等攻击,因此有必要好好掌握sp_executesql的用法。

转载于:https://www.cnblogs.com/xiashengwang/p/4172362.html

動態語句的使用方法(exec/sp_executesql)
中国风
10-06 1万+
--动态语句语法/******************************************************************************************************************************************************动态语句语法:exec/sp_executesql语法整理人:中国风(Roy)日期
SQL:exec sp_executesql 用法
Geovin Du Dream Park
07-16 713
--這種是無效的過程 declare @sql nvarchar(500), @where nvarchar(500),@i nvarchar(64),@p nvarchar(50),@id int set @id=5 set @sql='select '+@p+'=AreaCode from AdministrativeAreaList where AreaID='+cast(@id as v
Sql Server exec sp_executesql
08-30 453
sp_executesql 提供了输入输出接口,而EXEC没有。 sp_executesql能够重用执行计划,提高执行性能,还可以编写更安全的代码。 declare @TSql nvarchar(MAX),@DT1 datetime,@DT2 nvarchar(10),@id bigint set @id=1 set @TSql=N'select @DT1=getdate(),@DT2=con...
SQL SERVER EXECSP_EXECUTESQL
u013400314的博客
10-28 5945
所谓的参数化SQL,就是用变量当做占位符,通过 EXEC sp_executesql执行的时候将参数传递进去SQL中,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这样的话,缺点,1,对于这种方式,也有一点不好的地方,就是拼凑的字符串处理过程中,调试具体的SQL语句的时候,参数是直接拼凑在SQL文本中的,不能直接执行,要手动将占位参数替换成具体的参数值。第二,保证执行计划的重用,因为使用占位符来拼凑SQL的,SQL参数的值不同并导致最终执行的SQL文本不同。2、执行动态的批处理。
SQLServer:探讨EXECsp_executesql的区别详解
12-15
在SQL Server中,`EXEC` `sp_executesql` 都是用来动态执行SQL语句的命令,但它们之间存在着显著的区别。这篇文章将详细解析这两个命令的用途、优缺点以及如何选择适合的使用场景。 首先,`EXEC` 命令主要用于...
SQL Server EXECsp_executesql的区别
11-19
### SQL Server EXECsp_executesql的区别详解 #### 一、引言 在SQL Server中,执行动态SQL或存储过程时,开发人员通常面临选择使用`EXEC`还是`sp_executesql`的问题。这两种方法虽然都能达到目的,但在功能、性能...
SQL Server 中 EXECSP_EXECUTESQL 的区别.doc
08-30
在SQL Server中,动态执行SQL语句有两个主要的命令:`EXEC``SP_EXECUTESQL`。两者都用于在运行时执行SQL语句,但它们之间存在显著的区别。 一、EXEC `EXEC`命令可以执行存储过程或者动态SQL语句。当我们需要执行...
sp_executesql中使用like字句的方法
01-19
declare @LikeSql nvarchar(32);–定义一个like变量,如果是存储过程,此处可以存储过程的参数 set @LikeSql = ‘someword%’;...—使用@LikePar变量进行参数化 exec sp_executesql @SelectSql ,N’@LikePa
存储过程中执行动态Sql语句
weixin_30367169的博客
05-20 1250
  MSSQL为我们提供了两种动态执行SQL语句的命令,分别是EXECsp_executesql;通常,sp_executesql则更具有优势,它提供了输入输出接口,而EXEC没有。还有一个最大的好处就是利用sp_executesql,能够重用执行计划,这就大大提供了执行性能,还可以编写更安全的代码。EXEC在某些情况下会更灵活。除非您有令人信服的理由使用EXEC,否侧尽量使用sp_execut...
Exec 执行带参数命令 sp_executesql 的使用
学习asp.net......
03-23 1901
表test1  字段SQLCom  的一条记录是 Select * from Remark  where SystemID=@SystemID CREATE PROCEDURE   Getremak (@SystemIDd Int)ASdeclare @sql nvarchar(200)select @sql=SQLCom from Test1       execute  sp_
动态语句的使用方法(exec/sp_executesql)
zhangsir199的专栏
01-20 482
转自:http://www.cnblogs.com/twfx118/archive/2009/09/10/1564248.html --方法1查询表改为动态 select * from sysobjects exec(select ID,Name from sysobjects) exec sp_executesql Nselect ID,Name from sys
sql--关于execsp_execute
weixin_34279061的博客
04-17 221
sql:execsp_excutesql的比较 execsp_execute都可以执行存储过程批处理动态sql语句,以下所属均是关于批处理动态sql语句方面。 一、关于输入参数与输出参数 1、使用EXEC时,如果想访问变量,即有输入参数,那么必须把该变量串联到动态构建的代码字符串中。 2、当我们想要执行下语句输出count(*)时: 若要使用EXEC,则必须要利用建立临...
动态语句语法:exec\sp_executesql语法(转)
weixin_30855099的博客
01-02 94
动态语句语法:exec\sp_executesql语法 整理人:中国风(Roy) 日期:2008.06.06 ***************************************************************************************************************************************...
exec sp_executesql 用法
11-22 3409
DECLARE @IntVariable int;DECLARE @SQLString nvarchar(500);DECLARE @ParmDefinition nvarchar(500);/* Build the SQL string one time.*/SET @SQLString =NSELECT * FROM AdventureWork
html5executesql函数,动态语句的使用方法(exec/sp_executesql)
weixin_33701379的博客
06-22 346
--方法1查询表改为动态select * from sysobjectsexec('select ID,Name from sysobjects')exec sp_executesql N'select ID,Name from sysobjects'--多了一个N为unicode--方法2:字段名,表名,数据库名之类作为变量时,用动态SQLdeclare @FName varchar(20)se...
EXEC sp_executesqlEXEC 的区别、使用场景例子
最新发布
nbsaas-boot基于Request-Response的企业级快速开发框架
03-14 1459
在 SQL Server 中,EXEC都可以用来执行动态 SQL 语句,但它们有一些区别适用场景。
SQL Server 中 EXEC全称execute 与 SP_EXECUTESQL动态执行sql代码语句 的区别
橙-极纪元-JJYCheng
03-10 4623
SQL Server 中 EXEC全称execute与 SP_EXECUTESQL动态执行sql代码语句 的区别
SQL动态查询基础:Execsp_executesql
EXEC sp_executesql N'SELECT * FROM tableName'; ``` 其中,`sp_executesql`是存储过程,用于执行动态SQL,`N`前缀用于指定字符串为Unicode格式。 2. 变量作为字段名、表名: 当字段名、表名需要作为变量时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值