当前位置:七道奇文章资讯数据防范MSSQL防范
日期:2011-01-25 23:11:00  来源:本站整理

<b>详解SQL Server中的动态SQL概念</b>[MSSQL防范]

赞助商链接



  本文“<b>详解SQL Server中的动态SQL概念</b>[MSSQL防范]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

动态SQL:code that is executed dynamically.它普通是按照用户输入或外部条件动态组合的SQL语句块.动态SQL能机动的施展SQL强盛的功效、便利的办理一些别的办法难以办理的问题.相信利用过动态SQL的人都能领会到它带来的便利,但是动态SQL有时刻在履行性能(效率)上面不如静态SQL,并且利用不得当,常常会在安全方面存在隐患(SQL 注入攻击).

动态SQL可以通过EXECUTE 或SP_EXECUTESQL这两种方法来履行.(来自MSDN)

EXECUTE 履行 Transact-SQL 批中的号令字符串、字符串或履行下列模块之一:系统存储历程、用户定义存储历程、标量值用户定义函数或扩大存储历程.SQL Server 2005 扩大了 EXECUTE 语句,以使其可用于向链接服务器发送传送号令.此外,还可以显式设置履行字符串或号令的上下文

SP_EXECUTESQL

履行可以多次反复利用或动态生成的 Transact-SQL 语句或批处理.Transact-SQL 语句或批处理可以包含嵌入参数.在批处理、名称作用域和数据库上下文方面,SP_EXECUTESQL 与 EXECUTE 的行为相同.SP_EXECUTESQL stmt 参数中的 Transact-SQL 语句或批处理在履行 SP_EXECUTESQL 语句时才编译.随后,将编译 stmt 中的内容,并将其作为履行筹划运行.该履行筹划独立于名为 SP_EXECUTESQL 的批处理的履行筹划.SP_EXECUTESQL 批处理不能引用调用 SP_EXECUTESQL 的批处理中声明的变量.SP_EXECUTESQL 批处理中的本地游标或变量对调用 SP_EXECUTESQL 的批处理是不可见的.对数据库上下文所作的更改只在 SP_EXECUTESQL 语句完毕前有效.

假如只更改了语句中的参数值,则 sp_executesql 可用来替换存储历程多次履行 Transact-SQL 语句.因为 Transact-SQL 语句本身保持不变,仅参数值发生改变,所以 SQL Server 查询优化器大概反复利用初次履行时所生成的履行筹划.

普通来说,我们举荐、优先利用SP_EXECUTESQL来履行动态SQL,一方面它越发机动、可以有输入输出参数、别的一方面,查询优化器更有大概反复利用履行筹划,提高履行效率.还有就是利用SP_EXECUTESQL能提高安全性;当然也不是说要完好丢弃EXECUTE,在特定场所下,EXECUTE比SP_EXECUTESQL更便利些,比方动态SQL字符串是VARCHAR范例、不是NVARCHAR范例.SP_EXECUTESQL 只能履行是Unicode的字符串或是可以隐式转换为ntext的常量或变量、而EXECUTE则两种范例的字符串都能履行.

下面我们来比较看看EXECUTE 和SP_EXECUTESQL的一些细节地方.

  1. EXECUTE (N'SELECT * FROM Groups')      --履行成功  
  2. EXECUTE ('SELECT * FROM Groups')       --履行成功  
  3.  
  4. SP_EXECUTESQL N'SELECT * FROM Groups'--履行成功  
  5. SP_EXECUTESQL 'SELECT * FROM Groups'   --履行出错 

Summary:EXECUTE 可以履行非Unicode或Unicode范例的字符串常量、变量.而SP_EXECUTESQL只能履行Unicode或可以隐式转换为ntext的字符串常量、变量.

  1. DECLARE @GroupName VARCHAR(50);  
  2. SET @GroupName = 'SuperAdmin';  
  3. EXECUTE ('SELECT * FROM Groups WHERE 
  4. GroupName=''' + SUBSTRING(@GroupName, 1,5) + ''''); --'SUBSTRING' 四周有语法错误.  
  5. DECLARE @Sql VARCHAR(200);  
  6. DECLARE @GroupName VARCHAR(50);  
  7. SET @GroupName = 'SuperAdmin';  
  8. SET @Sql = 'SELECT * FROM Groups 
  9. WHERE GroupName=''' + SUBSTRING(@GroupName, 1,5) + '''' 
  10. --PRINT @Sql;  
  11. EXECUTE (@Sql); 

Summary:EXECUTE 括号里面只能是字符串变量、字符串常量、或它们的衔接组合,不能调用别的一些函数、存储历程等. 假如要利用,则利用变量组合,如上所示.

  1. DECLARE @Sql VARCHAR(200);  
  2. DECLARE @GroupName VARCHAR(50);  
  3. SET @GroupName = 'SuperAdmin';  
  4. SET @Sql = 'SELECT * FROM Groups WHERE GroupName=@GroupName' 
  5. --PRINT @Sql;  
  6. EXECUTE (@Sql);  --出错:必须声明标量变量 "@GroupName".  
  7. SET @Sql = 'SELECT * 
  8. FROM Groups WHERE GroupName=' + QUOTENAME(@GroupName, '''')  
  9. EXECUTE (@Sql);  --精确:  
  10. DECLARE @Sql NVARCHAR(200);  
  11. DECLARE @GroupName NVARCHAR(50);  
  12. SET @GroupName = 'SuperAdmin';  
  13. SET @Sql = 'SELECT * FROM Groups WHERE GroupName=@GroupName' 
  14. PRINT @Sql;  
  15. EXEC SP_EXECUTESQL @Sql, N'@GroupName NVARCHAR',@GroupName  

查询出来没有后果,没有声明参数长度.

  1. DECLARE @Sql NVARCHAR(200);  
  2. DECLARE @GroupName NVARCHAR(50);  
  3. SET @GroupName = 'SuperAdmin';  
  4. SET @Sql = 'SELECT * FROM Groups WHERE GroupName=@GroupName' 
  5. PRINT @Sql;  
  6. EXEC SP_EXECUTESQL @Sql, N'@GroupName NVARCHAR(50)',@GroupName  

Summary:动态批处理不能拜候定义在批处理里的部分变量 . SP_EXECUTESQL 可以有输入输出参数,比EXECUTE机动.

下面我们来看看EXECUTE , SP_EXECUTESQL的履行效率,首先把缓存排除履行筹划,然后改变用@GroupName值SuperAdmin、CommonUser、CommonAdmin辨别履行三次.然后看看其利用缓存的信息

  1. DBCC FREEPROCCACHE;   
  2.  
  3. DECLARE @Sql VARCHAR(200);  
  4. DECLARE @GroupName VARCHAR(50);  
  5. SET @GroupName = 'SuperAdmin'--'CommonUser', 'CommonAdmin'  
  6. SET @Sql = 'SELECT * 
  7. FROM Groups WHERE GroupName=' + QUOTENAME(@GroupName, '''')  
  8. EXECUTE (@Sql);   
  9. SELECT cacheobjtype, objtype, usecounts, sql  
  10. FROM sys.syscacheobjects  
  11. WHERE sql NOT LIKE '%cache%' 
  12.   AND sql NOT LIKE '%sys.%'

以下图所示

详解SQL Server中的动态SQL概念 

依葫芦画瓢,接着我们看看SP_EXECUTESQL的履行效率.

  1. DBCC FREEPROCCACHE;   
  2. DECLARE @Sql NVARCHAR(200);  
  3. DECLARE @GroupName NVARCHAR(50);  
  4. SET @GroupName = 'SuperAdmin'--'CommonUser', 'CommonAdmin'  
  5. SET @Sql = 'SELECT * FROM Groups WHERE GroupName=@GroupName' 
  6. EXECUTE SP_EXECUTESQL @Sql, N'@GroupName NVARCHAR(50)', @GroupName;   
  7. SELECT cacheobjtype, objtype, usecounts, sql  
  8. FROM sys.syscacheobjects  
  9. WHERE sql NOT LIKE '%cache%' 
  10.   AND sql NOT LIKE '%sys.%'

履行后果以下图所示:

详解SQL Server中的动态SQL概念 

Summary:EXEC 生成了三个独立的 ad hoc 履行筹划,而用SP_EXECUTESQL只生成了一次履行筹划,反复利用了三次,试想假如一个库里面,有很多这样近似的动态SQL,并且频繁履行,假如采取SP_EXECUTESQL就可以提高性能. 

原文标题:SQL Server 动态SQL

链接:http://www.cnblogs.com/kerrycode/archive/2010/08/05/1792671.html

七道奇为您推荐以下文章:
  • <b>hosts是什么 hosts文件在什么位置 若何改正hosts</b>
  • <b>在 Windows 8 中手动安装语言包</b>
  • <b>五个常见 PHP数据库问题</b>
  • Windows中Alt键的12个高效快速的利用本领介绍
  • <b>MySQL ORDER BY 的实现解析</b>
  • <b>详解MySQL存储历程参数有三种范例(in、out、inout)</b>
  • <b>Win8系统恢复出来经典的开始菜单的办法</b>
  • <b>Win8系统花屏怎么办 Win8系统花屏的办理办法</b>
  • <b>Windows 7系统下无线网卡安装</b>
  • <b>为什么 Linux不需求碎片整理</b>
  • <b>Windows 8中删除账户的几种办法(图)</b>
  • <b>教你如安在win7下配置路由器</b>
    •
    本文地址: 与您的QQ/BBS好友分享!
    [] [返回上一页] [打 印]
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论

    栏目导航

    赞助商链接

    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 -
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .