金九月饼价格:sp_executesql (Transact-SQL)
来源:百度文库 编辑:九乡新闻网 时间:2024/04/25 18:04:29
sp_executesql (Transact-SQL)
SQL Server 2008 R2 其他版本- SQL Server 2008
- SQL Server 2005
执行可以多次重复使用或动态生成的 Transact-SQL 语句或批处理。Transact-SQL 语句或批处理可以包含嵌入参数。
运行时编译的 Transact-SQL 语句可能会使应用程序受到恶意攻击,例如,SQL 注入。
Transact-SQL 语法约定
语法复制
sp_executesql [ @statement = ] statement[ { , [ @params = ] N'@parameter_name data_type [ OUT | OUTPUT ][ ,...n ]' } { , [ @param1 = ] 'value1' [ ,...n ] }]参数
返回代码值
0(成功)或非零(失败)
结果集从生成 SQL 字符串的所有 SQL 语句返回结果集。
注释在批处理、名称作用域和数据库上下文方面,sp_executesql 与 EXECUTE 的行为相同。sp_executesql stmt 参数中的 Transact-SQL 语句或批处理在执行 sp_executesql 语句时才编译。随后,将编译 stmt 中的内容,并将其作为执行计划运行。该执行计划独立于名为 sp_executesql 的批处理的执行计划。sp_executesql 批处理不能引用调用 sp_executesql 的批处理中声明的变量。sp_executesql 批处理中的本地游标或变量对调用 sp_executesql 的批处理是不可见的。对数据库上下文所做的更改只在 sp_executesql 语句结束前有效。
如果只更改了语句中的参数值,则 sp_executesql 可用来代替存储过程多次执行 Transact-SQL 语句。因为 Transact-SQL 语句本身保持不变,仅参数值发生变化,所以 SQL Server 查询优化器可能重复使用首次执行时所生成的执行计划。
若要改善性能,请在语句字符串中使用完全限定对象名。
sp_executesql 支持独立于 Transact-SQL 字符串设置参数值,如以下示例所示。
复制DECLARE @IntVariable int;DECLARE @SQLString nvarchar(500);DECLARE @ParmDefinition nvarchar(500);/* Build the SQL string one time.*/SET @SQLString =N'SELECT BusinessEntityID, NationalIDNumber, JobTitle, LoginIDFROM AdventureWorks2008R2.HumanResources.EmployeeWHERE BusinessEntityID = @BusinessEntityID';SET @ParmDefinition = N'@BusinessEntityID tinyint';/* Execute the string with the first parameter value. */SET @IntVariable = 197;EXECUTE sp_executesql @SQLString, @ParmDefinition,@BusinessEntityID = @IntVariable;/* Execute the same string with the second parameter value. */SET @IntVariable = 109;EXECUTE sp_executesql @SQLString, @ParmDefinition,@BusinessEntityID = @IntVariable;
输出参数也可用于 sp_executesql。以下示例从 AdventureWorks2008R2.HumanResources.Employee 表中检索职务,并在输出参数 @max_title 中返回它。
复制DECLARE @IntVariable int;DECLARE @SQLString nvarchar(500);DECLARE @ParmDefinition nvarchar(500);DECLARE @max_title varchar(30);SET @IntVariable = 197;SET @SQLString = N'SELECT @max_titleOUT = max(JobTitle)FROM AdventureWorks2008R2.HumanResources.EmployeeWHERE BusinessEntityID = @level';SET @ParmDefinition = N'@level tinyint, @max_titleOUT varchar(30) OUTPUT';EXECUTE sp_executesql @SQLString, @ParmDefinition, @level = @IntVariable, @max_titleOUT=@max_title OUTPUT;SELECT @max_title;
替换 sp_executesql 中的参数的能力,与使用 EXECUTE 语句执行字符串相比,有下列优点:
-
因为在 sp_executesql 字符串中,Transact-SQL 语句的实际文本在两次执行之间并未改变,所以查询优化器应该能将第二次执行中的 Transact-SQL 语句与第一次执行时生成的执行计划匹配。因此,SQL Server 不必编译第二条语句。
-
Transact-SQL 字符串只生成一次。
-
整数参数按其本身格式指定。不需要转换为 Unicode。
要求具有 public 角色的成员身份。
示例A. 执行简单的 SELECT 语句
以下示例将创建并执行一个简单的 SELECT 语句,其中包含名为 @level 的嵌入参数。
复制EXECUTE sp_executesqlN'SELECT * FROM AdventureWorks2008R2.HumanResources.EmployeeWHERE BusinessEntityID = @level',N'@level tinyint',@level = 109;
B. 执行动态生成的字符串
以下示例显示使用 sp_executesql 执行动态生成的字符串。该示例中的存储过程用于向一组表中插入数据,这些表用于划分一年的销售数据。一年中的每个月均有一个表,格式如下:
复制CREATE TABLE May1998Sales(OrderID int PRIMARY KEY,CustomerID int NOT NULL,OrderDate datetime NULLCHECK (DATEPART(yy, OrderDate) = 1998),OrderMonth intCHECK (OrderMonth = 5),DeliveryDate datetime NULL,CHECK (DATEPART(mm, OrderDate) = OrderMonth))
此示例存储过程将动态生成并执行 INSERT 语句,以便向正确的表中插入新订单。此示例使用订货日期生成应包含数据的表的名称,然后将此名称并入 INSERT 语句中。
这是一个简单的 sp_executesql 示例。此示例不包含错误检查以及业务规则检查,例如确保订单号在各个表之间不重复。
复制CREATE PROCEDURE InsertSales @PrmOrderID INT, @PrmCustomerID INT,@PrmOrderDate DATETIME, @PrmDeliveryDate DATETIMEASDECLARE @InsertString NVARCHAR(500)DECLARE @OrderMonth INT-- Build the INSERT statement.SET @InsertString = 'INSERT INTO ' +/* Build the name of the table. */SUBSTRING( DATENAME(mm, @PrmOrderDate), 1, 3) +CAST(DATEPART(yy, @PrmOrderDate) AS CHAR(4) ) +'Sales' +/* Build a VALUES clause. */' VALUES (@InsOrderID, @InsCustID, @InsOrdDate,' +' @InsOrdMonth, @InsDelDate)'/* Set the value to use for the order month becausefunctions are not allowed in the sp_executesql parameterlist. */SET @OrderMonth = DATEPART(mm, @PrmOrderDate)EXEC sp_executesql @InsertString,N'@InsOrderID INT, @InsCustID INT, @InsOrdDate DATETIME,@InsOrdMonth INT, @InsDelDate DATETIME',@PrmOrderID, @PrmCustomerID, @PrmOrderDate,@OrderMonth, @PrmDeliveryDateGO
在该过程中使用 sp_executesql 比使用 EXECUTE 执行字符串更有效。使用 sp_executesql 时,只生成 12 个版本的 INSERT 字符串,每个月的表对应 1 个字符串。使用 EXECUTE 时,因为参数值不同,每个 INSERT 字符串均是唯一的。尽管两种方法生成的批处理数相同,但因为 sp_executesql 生成的 INSERT 字符串都相似,所以查询优化器更有可能重复使用执行计划。
C. 使用 OUTPUT 参数
以下示例使用 OUTPUT 参数将由 SELECT 语句生成的结果集存储于 @SQLString 参数中。然后将执行两个使用 OUTPUT 参数值的 SELECT 语句。
复制USE AdventureWorks2008R2;GODECLARE @SQLString nvarchar(500);DECLARE @ParmDefinition nvarchar(500);DECLARE @SalesOrderNumber nvarchar(25);DECLARE @IntVariable int;SET @SQLString = N'SELECT @SalesOrderOUT = MAX(SalesOrderNumber)FROM Sales.SalesOrderHeaderWHERE CustomerID = @CustomerID';SET @ParmDefinition = N'@CustomerID int,@SalesOrderOUT nvarchar(25) OUTPUT';SET @IntVariable = 22276;EXECUTE sp_executesql@SQLString,@ParmDefinition,@CustomerID = @IntVariable,@SalesOrderOUT = @SalesOrderNumber OUTPUT;-- This SELECT statement returns the value of the OUTPUT parameter.SELECT @SalesOrderNumber;-- This SELECT statement uses the value of the OUTPUT parameter in-- the WHERE clause.SELECT OrderDate, TotalDueFROM Sales.SalesOrderHeaderWHERE SalesOrderNumber = @SalesOrderNumber;
有关其他示例,请参阅使用 sp_executesql。