SQL Server 中 EXEC 与 SP_EXECUTESQL 的区别

转载自：https://www.cnblogs.com/lxblog/archive/2013/01/14/2859828.html

 

MSSQL为咱们提供了两种动态执行SQL语句的命令，分别是 EXEC 和 SP_EXECUTESQL ，咱们先来看一下两种方式的用法。

先创建一个表，并添加一些数据来进行演示：

CREATE TABLE t_student(
 Id INT NOT NULL,
 Name NVARCHAR (10) NULL,
 Age TINYINT NULL,
 School NVARCHAR(20) NULL,
 Class NVARCHAR(10) NULL,
 Score FLOAT NULL,
 CONSTRAINT [PK_Student_Id] PRIMARY KEY CLUSTERED(Id)
)
GO

INSERT INTO t_student VALUES(1,'张小红',8,'育才小学','一班',92)
INSERT INTO t_student VALUES(2,'王丽丽',8,'育才小学','一班',90)
INSERT INTO t_student VALUES(3,'张燕',7,'云华小学','二班',86)
INSERT INTO t_student VALUES(4,'刘华',6,'云华小学','二班',85)

1、EXEC 

EXEC命令能够执行一个存储过程也能够执行一个动态SQL语句。先来看看怎么执行存储过程：

新建一个存储过程 SP_GetStudent ，返回 成绩大于90 分的学生：

CREATE PROCEDURE [dbo].[Sp_GetStudent]
    @Score FLOAT,
    @Nums INT OUTPUT 
AS
BEGIN
    SET NOCOUNT ON;
    SELECT * FROM t_student WHERE Score >=@Score
    SELECT @Nums=COUNT(1) FROM t_student WHERE Score >=@Score
    IF(@Nums>0)
     RETURN 1
    ELSE
     RETURN 0
END
GO

 该存储过程涉及了 查询操做、返回值和输出参数，咱们来看用EXEC 命令如何调用：

DECLARE @return_value int,
        @OutNums int

EXEC    @return_value = [dbo].[Sp_GetStudent] 
        @Score = 90,
        @Nums = @OutNums OUTPUT

SELECT  @OutNums as N'大于90分的人数'

SELECT  '返回值' = @return_value
GO

 执行结果：

咱们发现EXEC 执行存储过程和咱们平时程序执行一个方法是几乎同样的，返回值参数 直接就能够等于存储过程的执行后的返回值，输出参数 在后面须要增长 OUTPUT 关键字。

执行存储过程不是重点，重点是执行动态sql语句，一样看一下例子：

DECLARE @TableName NVARCHAR(50),@Sql NVARCHAR(MAX),@Score INT;
SET @TableName = 't_Student';
SET @Score = 90;
SET @sql = 'SELECT * FROM '+QUOTENAME(@TableName) +'WHERE Score >= '+CAST(@Score AS NVARCHAR(10))
EXEC (@sql);

 执行结果：

注意：在执行拼接SQL 语句的时候，的EXEC括号中只容许包含一个字符串变量，可是能够串联多个变量，若是咱们直接执行这个SQL语句：

--这是错误的调用
EXEC ('SELECT * FROM '+QUOTENAME(@TableName) +'WHERE Score >= '+CAST(@Score AS NVARCHAR(10)));

 执行就会提示错误。可是这样就没有问题：

DECLARE @TableName NVARCHAR(50),@Sql NVARCHAR(MAX),@Score INT
DECLARE @Sql2 NVARCHAR(MAX)
SET @TableName = 't_Student';
SET @Score = 90;
SET @sql = 'SELECT * FROM '+QUOTENAME(@TableName)
SET @Sql2=' WHERE Score >= '+CAST(@Score AS NVARCHAR(10))
EXEC (@sql+@sql2)

 EXEC 执行拼接sql语句的时候不支持 嵌入式参数，以下：

DECLARE @OUT_Nums INT,@IN_Score INT,@Sql NVARCHAR(MAX)
SET @IN_Score = 90
SET @sql = 'SELECT @Nums=COUNT(1) FROM t_student WHERE Score >= @Score'
EXEC (@sql)

 

经过上面的代码发现，EXEC 执行拼接的SQL语句的时候，不支持内嵌参数，包括输入参数和输出参数。有的时候咱们想把获得的count(*)传出来，用EXEC是很差办到的。接下来，再来看看SP_EXECUTESQL的使用：

2、SP_EXECUTESQL：

SP_EXECUTESQL 是在 SQL 2005中引入的新的系统存储过程，也是用来处理动态SQL 语句的。它比EXEC 更加灵活，首先也执行一下第一次的拼接SQL语句：

DECLARE @TableName NVARCHAR(50),@Sql NVARCHAR(MAX),@Score INT;
SET @TableName = 't_Student';
SET @Score = 90;
SET @sql = 'SELECT * FROM '+QUOTENAME(@TableName) +'WHERE Score >= '+CAST(@Score AS NVARCHAR(10))
EXEC SP_EXECUTESQL @sql --注意这里没有了()

执行结果：

SP_EXECUTESQL 支持内嵌参数：

先来看一下SP_EXECUTESQL的语法：

sp_executesql [ @stmt = ] stmt
[ 
    {, [@params=] N'@parameter_name data_type [ OUT | OUTPUT ][,...n]' } 
     {, [ @param1 = ] 'value1' [ ,...n ] }
]

说明：
[ @stmt = ] stmt 包含 Transact-SQL 语句或批处理的 Unicode 字符串。stmt 必须是 Unicode 常量或 Unicode 变量。不容许使用更复杂的 Unicode 表达式（例如使用 + 运算符链接两个字符串）。不容许使用字符常量。若是指定了 Unicode 常量，则必须使用 N 做为前缀。例如，Unicode 常量 N'sp_who' 是有效的，可是字符常量 'sp_who' 则无效。字符串的大小仅受可用数据库服务器内存限制。在 64 位服务器中，字符串大小限制为 2 GB，即 nvarchar(max) 的最大大小。stmt 中包含的每一个参数在 @params 参数定义列表和参数值列表中均必须有对应项

[ @params = ] N'@parameter_namedata_type[ ,... n ] ' 包含 stmt 中嵌入的全部参数定义的字符串。字符串必须是 Unicode 常量或 Unicode 变量。每一个参数定义由参数名称和数据类型组成。n 是表示附加参数定义的占位符。在 stmt 中指定的每一个参数必须在 @params 中定义。若是 stmt 中的 Transact-SQL 语句或批处理不包含参数，则不须要 @params。该参数的默认值为 NULL。

[ @param1 = ] 'value1' 

参数字符串中定义的第一个参数的值。该值能够是 Unicode 常量，也能够是 Unicode 变量。必须为 stmt 中包含的每一个参数提供参数值。若是 stmt 中的 Transact-SQL 语句或批处理没有参数，则不须要这些值。

 

 

[ OUT | OUTPUT ]

指示参数是输出参数。除非是公共语言运行 (CLR) 过程，不然 text、ntext 和 image 参数都可用做 OUTPUT 参数。使用 OUTPUT 关键字的输出参数能够为游标占位符，CLR 过程除外。

 

 

 

 

n 附加参数值的占位符。这些值只能为常量或变量，不能是很复杂的表达式（例如函数）或使用运算符生成的表达式。

返回代码值 : 

0（成功）或非零（失败）

 

 

 

 

 

 

 

结果集：从生成 SQL 字符串的全部 SQL 语句返回结果集

 

 

看不懂没有关系，经过例子就会很是明白的，依旧还执行上面的 SQL 语句：

DECLARE @OUT_Nums INT,@IN_Score INT,@Sql NVARCHAR(MAX)
SET @IN_Score = 90
SET @sql = 'SELECT @Nums=COUNT(1) FROM t_student WHERE Score >= @Score'
EXEC SP_EXECUTESQL @sql,N'@Nums INT OUT,@Score INT',@OUT_Nums OUTPUT,@IN_Score
SELECT @OUT_Nums AS '人数'

 执行结果：

须要注意的是：

一、要求动态Sql和动态Sql参数列表必须是NVARCHAR

二、动态Sql的参数列表与外部提供值的参数列表顺序必需一致

三、一旦使用了 '@name = value' 形式以后，全部后续的参数就必须以 '@name = value' 的形式传递，好比：

DECLARE @OUT_Nums INT,@IN_Score INT,@Sql NVARCHAR(MAX)
SET @IN_Score = 90
SET @sql = 'SELECT @Nums=COUNT(1) FROM t_student WHERE Score >= @Score'
EXEC SP_EXECUTESQL @stmt=@sql,@params=N'@Nums INT OUT,@Score INT',@Nums=@OUT_Nums OUTPUT,@Score=@IN_Score
SELECT @OUT_Nums AS '人数'

经过上面的例子已经很清晰的代表了，在执行动态SQL 语句的时候，EXEC 和  SP_EXECUTESQL 的区别了，来总结一下：

一、 性能：

官方描述：sp_executesql stmt 参数中的 Transact-SQL 语句或批处理在执行 sp_executesql 语句时才编译。随后，将编译 stmt 中的内容，并将其做为执行计划运行。该执行计划独立于名为 sp_executesql 的批处理的执行计划。sp_executesql 批处理不能引用调用 sp_executesql 的批处理中声明的变量。sp_executesql 批处理中的本地游标或变量对调用 sp_executesql 的批处理是不可见的。对数据库上下文所作的更改只在 sp_executesql 语句结束前有效。若是只更改了语句中的参数值，则sp_executesql 可用来代替存储过程屡次执行 Transact-SQL 语句。由于 Transact-SQL 语句自己保持不变，仅参数值发生变化，因此 SQL Server 查询优化器可能重复使用首次执行时所生成的执行计划。

说通俗一点就是：若是用 EXEC 执行一条动态 SQL 语句，因为每次传入的参数不同，因此每次生成的 @sql 就不同，这样每执行一次SQL SERVER 就必须从新将要执行的动态 Sql 从新编译一次 。可是SP_EXECUTESQL 则不同，因为将数值参数化，要执行的动态 Sql 永远不会变化，只是传入的参数的值在变化，那每次执行的时候就不用从新编译，速度和效率天然有所提高。

二、从上面的例子咱们已经可以看出 SP_EXECUTESQL 命令比 EXEC 命令更灵活，由于它提供一个接口，该接口及支持输入参数也支持输出参数。

三、EXEC 执行纯动态SQL，执行时可能没法使用预编译的执行计划，关键是不安全，能够致使 SQL 注入 ，而 SP_EXECUTESQL 执行参数化动态 SQL ,执行时能使用预编译的执行计划，并且保存存储过程时就能够肯定可使用的预编译的执行计划，并且最重要的是“安全”，自然免疫SQL 注入