雁过请留痕...
代码改变世界

exec和sp_executesql

2014-12-18 18:14  xiashengwang  阅读(488)  评论(0编辑  收藏  举报

sqlserver中的exec和sp_executesql都能执行动态的sql语句和存储过程,但exec用法较为简单,不能带参数,也没有返回参数。

sp_executesql则显得功能更加完善,可以用输入参数和输出参数,下面这个例子记录了sp_executesql的用法。

declare @sql nvarchar(1000),
@oazaName varchar(20),
@cnt int
set @oazaName = 'abc'

set @sql = 'select @count=count(*) from dbo.Aza where oazaName like ''%'' +  @oazaName + ''%'''
print @sql
-- 注意like查询时用变量该如何拼接 '%' + 
-- 输出SQL语句:select @count=count(*) from dbo.Aza where oazaName like '%' +  @oazaName + '%'
exec sp_executesql 
--这里定义sql文
@stmt=@sql, 
--这里书写@sql中用到的变量,多个变量时,将全部定义放到@params变量里
@params =N'@oazaName as varchar(20),@count as int output',
--下面的赋值语句个数由@params定义的变量个数决定,
--注意输出变量的定义和赋值语句处都要加output关键字
@oazaName ='飯',
@count =@cnt output
-- 查看输出变量的值,感觉@cnt是传的地址(类似与C#的ref关键字)
select @cnt

对于带参数的查询,可以防止sql注入等攻击,因此有必要好好掌握sp_executesql的用法。