SQL Server 动态SQL用法

动态SQL:code that is executed dynamically。它一般是根据用户输入或外部条件动态组合的SQL语句块。动态SQL能灵活的发挥SQL强大的功能、方便的解决一些其它方法难以解决的问题。相信使用过动态SQL的人都能体会到它带来的便利,然而动态SQL有时候在执行性能(效率)上面不如静态SQL,而且使用不恰当,往往会在安全方面存在隐患(SQL 注入式攻击)。
 
动态SQL可以通过EXECUTE 或SP_EXECUTESQL这两种方式来执行。(来自MSDN)
 

 

EXECUTE

 

执行 Transact-SQL 批中的命令字符串、字符串或执行下列模块之一:系统存储过程、用户定义存储过程、标量值用户定义函数或扩展存储过程。SQL Server 2005 扩展了 EXECUTE 语句,以使其可用于向链接服务器发送传递命令。此外,还可以显式设置执行字符串或命令的上下文

 

SP_EXECUTESQL

 

执行可以多次重复使用或动态生成的 Transact-SQL 语句或批处理。Transact-SQL 语句或批处理可以包含嵌入参数。在批处理、名称作用域和数据库上下文方面,SP_EXECUTESQL 与 EXECUTE 的行为相同。SP_EXECUTESQL stmt 参数中的 Transact-SQL 语句或批处理在执行 SP_EXECUTESQL 语句时才编译。随后,将编译 stmt 中的内容,并将其作为执行计划运行。该执行计划独立于名为 SP_EXECUTESQL 的批处理的执行计划。SP_EXECUTESQL 批处理不能引用调用 SP_EXECUTESQL 的批处理中声明的变量。SP_EXECUTESQL 批处理中的本地游标或变量对调用 SP_EXECUTESQL 的批处理是不可见的。对数据库上下文所作的更改只在 SP_EXECUTESQL 语句结束前有效。

 

如果只更改了语句中的参数值,则 sp_executesql 可用来代替存储过程多次执行 Transact-SQL 语句。因为 Transact-SQL 语句本身保持不变,仅参数值发生变化,所以 SQL Server 查询优化器可能重复使用首次执行时所生成的执行计划。

 

一般来说,我们推荐、优先使用SP_EXECUTESQL来执行动态SQL,一方面它更加灵活、可以有输入输出参数、另外一方面,查询优化器更有可能重复使用执行计划,提高执行效率。还有就是使用SP_EXECUTESQL能提高安全性;当然也不是说要完全摈弃EXECUTE,在特定场合下,EXECUTE比SP_EXECUTESQL更方便些,比如动态SQL字符串是VARCHAR类型、不是NVARCHAR类型。SP_EXECUTESQL 只能执行是Unicode的字符串或是可以隐式转换为ntext的常量或变量、而EXECUTE则两种类型的字符串都能执行。

 

下面我们来对比看看EXECUTE 和SP_EXECUTESQL的一些细节地方。

 

复制代码
EXECUTE (N'SELECT * FROM Groups')      --执行成功EXECUTE ('SELECT * FROM Groups')       --执行成功 SP_EXECUTESQL N'SELECT * FROM Groups'; --执行成功SP_EXECUTESQL 'SELECT * FROM Groups'   --执行出错

 

Summary:EXECUTE 可以执行非Unicode或Unicode类型的字符串常量、变量。而SP_EXECUTESQL只能执行Unicode或可以隐式转换为ntext的字符串常量、变量。

复制代码

 

 

代码

复制代码
DECLARE@GroupNameVARCHAR(50);
SET@GroupName='SuperAdmin';
EXECUTE ('SELECT * FROM Groups WHERE GroupName='''+SUBSTRING(@GroupName, 1,5) +''''); --'SUBSTRING' 附近有语法错误。
DECLARE@SqlVARCHAR(200); DECLARE@GroupNameVARCHAR(50);
SET@GroupName='SuperAdmin'; SET@Sql='SELECT * FROM Groups WHERE GroupName='''+SUBSTRING(@GroupName, 1,5) +''''--PRINT @Sql;EXECUTE (@Sql);
复制代码

 

Summary:EXECUTE 括号里面只能是字符串变量、字符串常量、或它们的连接组合,不能调用其它一些函数、存储过程等。 如果要使用,则使用变量组合,如上所示。

复制代码
代码
DECLARE@SqlVARCHAR(200); DECLARE@GroupNameVARCHAR(50);
SET@GroupName='SuperAdmin'; SET@Sql='SELECT * FROM Groups WHERE GroupName=@GroupName'--PRINT @Sql;EXECUTE (@Sql);  --出错:必须声明标量变量 "@GroupName"。SET@Sql='SELECT * FROM Groups WHERE GroupName='+QUOTENAME(@GroupName, '''') EXECUTE (@Sql);  --正确:
DECLARE@SqlNVARCHAR(200); DECLARE@GroupNameNVARCHAR(50);
SET@GroupName='SuperAdmin'; SET@Sql='SELECT * FROM Groups WHERE GroupName=@GroupName'PRINT@Sql; EXEC SP_EXECUTESQL @Sql, N'@GroupName NVARCHAR',@GroupName 查询出来没有结果,没有声明参数长度。
DECLARE@SqlNVARCHAR(200); DECLARE@GroupNameNVARCHAR(50);
SET@GroupName='SuperAdmin'; SET@Sql='SELECT * FROM Groups WHERE GroupName=@GroupName'PRINT@Sql; EXEC SP_EXECUTESQL @Sql, N'@GroupName NVARCHAR(50)',@GroupName
复制代码

 

Summary:动态批处理不能访问定义在批处理里的局部变量 。 SP_EXECUTESQL 可以有输入输出参数,比EXECUTE灵活。

 

下面我们来看看EXECUTE , SP_EXECUTESQL的执行效率,首先把缓存清除执行计划,然后改变用@GroupName值SuperAdmin、CommonUser、CommonAdmin分别执行三次。然后看看其使用缓存的信息

 

 

代码

复制代码
DBCC FREEPROCCACHE;
DECLARE@SqlVARCHAR(200); DECLARE@GroupNameVARCHAR(50);
SET@GroupName='SuperAdmin'; --'CommonUser', 'CommonAdmin'SET@Sql='SELECT * FROM Groups WHERE GroupName='+QUOTENAME(@GroupName, '''') EXECUTE (@Sql);
SELECT cacheobjtype, objtype, usecounts, sql FROM sys.syscacheobjects WHERE sql NOTLIKE'%cache%'   AND sql NOTLIKE'%sys.%';
复制代码

 

如下图所示

 

依葫芦画瓢,接着我们看看SP_EXECUTESQL的执行效率.

复制代码
代码
DBCC FREEPROCCACHE;
DECLARE@SqlNVARCHAR(200); DECLARE@GroupNameNVARCHAR(50);
SET@GroupName='SuperAdmin'; --'CommonUser', 'CommonAdmin'SET@Sql='SELECT * FROM Groups WHERE GroupName=@GroupName'EXECUTE SP_EXECUTESQL @Sql, N'@GroupName NVARCHAR(50)', @GroupName;
SELECT cacheobjtype, objtype, usecounts, sql FROM sys.syscacheobjects WHERE sql NOTLIKE'%cache%'   AND sql NOTLIKE'%sys.%';
复制代码

 

 

执行结果如下图所示:

Summary:EXEC 生成了三个独立的 ad hoc 执行计划,而用SP_EXECUTESQL只生成了一次执行计划,重复使用了三次,试想如果一个库里面,有许多这样类似的动态SQL,而且频繁执行,如果采用SP_EXECUTESQL就能提高性能。

 

===========================================================================================

--建立测试环境 IF OBJECT_ID('tb','U') IS NOT NULL  DROP TABLE tb GO

CREATE TABLE tb ( id int identity, code varchar(10), name varchar(20),      CONSTRAINT PK_TB PRIMARY KEY (id) ) GO insert tb select '001','财务部' union all select '002','贸易部' union all select '003','技术部' union all select '004','市场部' go

--动态语句1 得到结果集 declare @sql nvarchar(4000) declare @wheresql  varchar(1000) set  @wheresql=' and name=''技术部''' set @sql = 'select * from tb where 1=1 '+ @wheresql exec(@sql) --结果 /* id          code       name ----------- ---------- -------------------- 3           003        技术部 */

--动态语句2 输入输出参数 declare @ID int set @sql = 'select @id=id from tb where name=@name ' exec sp_executesql @sql, N'@ID int output,@name varchar(20)',@ID output,'技术部' select @ID

--结果 /* ----------- 3 */

 

=======================

 

create procedure deleteSeed(@seedTable nvarchar(255),@url nvarchar(255))     as  declare @deleteSql nvarchar(255);   declare @updateSql nvarchar(255);   declare @selectSql nvarchar(255);   declare @length int;     begin      set @deleteSql = 'delete from ' + @seedTable + ' where url=''' + @url + ''';';       set @updateSql = 'update ' + @seedTable + ' set length=length-1 where url=''' + @url + ''';';      //-- set @selectSql = 'select ' + @length + '=length from ' + @seedTable + ' where url=''' + @url + ''';';      set @selectSql = N'select @needLength = length from'+@seedTable +N' where url=''' + @url + ''';';          //--exec(@selectSql);  

 exec sp_executeSql @selectSql,N'@needLength int output',@length = needLenght OUTPUT;       if @length=1 begin          exec(@deleteSql);       end      else begin          exec(@updateSql);       end  end; 

 

set @selectSql = 'select @length=length from ' + @seedTable + ' where url=''' + @url + ''';';
exec sp_executesql @selectSql,N'@length int output',@length output     然后此@length就有值了

 

 

posted @ 2013-03-19 14:07  .net刚入门  阅读(312)  评论(0编辑  收藏  举报