注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

天涯倦客的博客

祝福你朋友永远快乐!

 
 
 

日志

 
 

sp_executesql 使用  

2012-12-20 10:20:01|  分类: MS SQL |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
执行可以多次重复使用或动态生成的 Transact-SQL 语句或批处理。Transact-SQL 语句或批处理可以包含嵌入参数。
安全说明:
运行时编译的 Transact-SQL 语句可能会使应用程序受到恶意攻击,例如,SQL 注入。
 Transact-SQL 语法约定
语法
sp_executesql [ @statement = ] statement
[
    { , [ @params = ] N'@parameter_name data_type [ OUT | OUTPUT ][ ,...n ]' }
     { , [ @param1 = ] 'value1' [ ,...n ] }
]
参数
[ @statement = ] statement
包含 Transact-SQL 语句或批处理的 Unicode 字符串。statement 必须是 Unicode 常量或 Unicode 变量。不允许使用更复杂的 Unicode 表达式(例如使用 + 运算符连接两个字符串)。不允许使用字符常量。如果指定了 Unicode 常量,则必须使用 N 作为前缀。例如,Unicode 常量 N'sp_who' 是有效的,但是字符常量 'sp_who' 则无效。字符串的大小仅受可用数据库服务器内存限制。在 64 位服务器中,字符串大小限制为 2 GB,即 nvarchar(max) 的最大大小。
注意:
stmt 可以包含与变量名形式相同的参数,例如:N'SELECT * FROM HumanResources.Employee WHERE EmployeeID = @IDParameter'
stmt 中包含的每个参数在 @params 参数定义列表和参数值列表中均必须有对应项。
[ @params = ] N'@parameter_name data_type [ ,... n ] '
包含 stmt 中嵌入的所有参数定义的字符串。字符串必须是 Unicode 常量或 Unicode 变量。每个参数定义由参数名称和数据类型组成。n 是表示附加参数定义的占位符。在 statement 中指定的每个参数都必须在 @params 中定义。如果 stmt 中的 Transact-SQL 语句或批处理不包含参数,则不需要 @params。该参数的默认值为 NULL。
[ @param1 = ] 'value1'
参数字符串中定义的第一个参数的值。该值可以是 Unicode 常量,也可以是 Unicode 变量。必须为 stmt 中包含的每个参数提供参数值。如果 stmt 中的 Transact-SQL 语句或批处理没有参数,则不需要这些值。
[ OUT | OUTPUT ]
指示参数是输出参数。除非是公共语言运行 (CLR) 过程,否则 text、ntext 和 image 参数均可用作 OUTPUT 参数。使用 OUTPUT 关键字的输出参数可以为游标占位符,CLR 过程除外。
n
附加参数值的占位符。这些值只能为常量或变量,不能是很复杂的表达式(例如函数)或使用运算符生成的表达式。
返回代码值
0(成功)或非零(失败)
结果集
从生成 SQL 字符串的所有 SQL 语句返回结果集。
注释
在批处理、名称作用域和数据库上下文方面,sp_executesql 与 EXECUTE 的行为相同。sp_executesql stmt 参数中的 Transact-SQL 语句或批处理在执行 sp_executesql 语句时才编译。随后,将编译 stmt 中的内容,并将其作为执行计划运行。该执行计划独立于名为 sp_executesql 的批处理的执行计划。sp_executesql 批处理不能引用调用 sp_executesql 的批处理中声明的变量。sp_executesql 批处理中的本地游标或变量对调用 sp_executesql 的批处理是不可见的。对数据库上下文所做的更改只在 sp_executesql 语句结束前有效。

如果只更改了语句中的参数值,则 sp_executesql 可用来代替存储过程多次执行 Transact-SQL 语句。因为 Transact-SQL 语句本身保持不变,仅参数值发生变化,所以 SQL Server 查询优化器可能重复使用首次执行时所生成的执行计划。
注意:
若要改善性能,请在语句字符串中使用完全限定对象名。
sp_executesql 支持独立于 Transact-SQL 字符串设置参数值,如以下示例所示。
 复制代码
DECLARE @IntVariable int;
DECLARE @SQLString nvarchar(500);
DECLARE @ParmDefinition nvarchar(500);

/* Build the SQL string one time.*/
SET @SQLString =
     N'SELECT BusinessEntityID, NationalIDNumber, JobTitle, LoginID
       FROM AdventureWorks2008R2.HumanResources.Employee
       WHERE BusinessEntityID = @BusinessEntityID';
SET @ParmDefinition = N'@BusinessEntityID tinyint';
/* Execute the string with the first parameter value. */
SET @IntVariable = 197;
EXECUTE sp_executesql @SQLString, @ParmDefinition,
                      @BusinessEntityID = @IntVariable;
/* Execute the same string with the second parameter value. */
SET @IntVariable = 109;
EXECUTE sp_executesql @SQLString, @ParmDefinition,
                      @BusinessEntityID = @IntVariable;
 

输出参数也可用于 sp_executesql。以下示例从 AdventureWorks2008R2.HumanResources.Employee 表中检索职务,并在输出参数 @max_title 中返回它。

 复制代码
DECLARE @IntVariable int;
DECLARE @SQLString nvarchar(500);
DECLARE @ParmDefinition nvarchar(500);
DECLARE @max_title varchar(30);

SET @IntVariable = 197;
SET @SQLString = N'SELECT @max_titleOUT = max(JobTitle)
   FROM AdventureWorks2008R2.HumanResources.Employee
   WHERE BusinessEntityID = @level';
SET @ParmDefinition = N'@level tinyint, @max_titleOUT varchar(30) OUTPUT';

EXECUTE sp_executesql @SQLString, @ParmDefinition, @level = @IntVariable, @max_titleOUT=@max_title OUTPUT;
SELECT @max_title;
 

替换 sp_executesql 中的参数的能力,与使用 EXECUTE 语句执行字符串相比,有下列优点:

因为在 sp_executesql 字符串中,Transact-SQL 语句的实际文本在两次执行之间并未改变,所以查询优化器应该能将第二次执行中的 Transact-SQL 语句与第一次执行时生成的执行计划匹配。因此,SQL Server 不必编译第二条语句。


Transact-SQL 字符串只生成一次。


整数参数按其本身格式指定。不需要转换为 Unicode。



权限
要求具有 public 角色的成员身份。

示例
A. 执行简单的 SELECT 语句
以下示例将创建并执行一个简单的 SELECT 语句,其中包含名为 @level 的嵌入参数。

 复制代码
EXECUTE sp_executesql
          N'SELECT * FROM AdventureWorks2008R2.HumanResources.Employee
          WHERE BusinessEntityID = @level',
          N'@level tinyint',
          @level = 109;
 

B. 执行动态生成的字符串
以下示例显示使用 sp_executesql 执行动态生成的字符串。该示例中的存储过程用于向一组表中插入数据,这些表用于划分一年的销售数据。一年中的每个月均有一个表,格式如下:

 复制代码
CREATE TABLE May1998Sales
    (OrderID int PRIMARY KEY,
    CustomerID int NOT NULL,
    OrderDate  datetime NULL
        CHECK (DATEPART(yy, OrderDate) = 1998),
    OrderMonth int
        CHECK (OrderMonth = 5),
    DeliveryDate datetime  NULL,
        CHECK (DATEPART(mm, OrderDate) = OrderMonth)
    )
 

此示例存储过程将动态生成并执行 INSERT 语句,以便向正确的表中插入新订单。此示例使用订货日期生成应包含数据的表的名称,然后将此名称并入 INSERT 语句中。

注意:
这是一个简单的 sp_executesql 示例。此示例不包含错误检查以及业务规则检查,例如确保订单号在各个表之间不重复。
 

 复制代码
CREATE PROCEDURE InsertSales @PrmOrderID INT, @PrmCustomerID INT,
                 @PrmOrderDate DATETIME, @PrmDeliveryDate DATETIME
AS
DECLARE @InsertString NVARCHAR(500)
DECLARE @OrderMonth INT

-- Build the INSERT statement.
SET @InsertString = 'INSERT INTO ' +
       /* Build the name of the table. */
       SUBSTRING( DATENAME(mm, @PrmOrderDate), 1, 3) +
       CAST(DATEPART(yy, @PrmOrderDate) AS CHAR(4) ) +
       'Sales' +
       /* Build a VALUES clause. */
       ' VALUES (@InsOrderID, @InsCustID, @InsOrdDate,' +
       ' @InsOrdMonth, @InsDelDate)'

/* Set the value to use for the order month because
   functions are not allowed in the sp_executesql parameter
   list. */
SET @OrderMonth = DATEPART(mm, @PrmOrderDate)

EXEC sp_executesql @InsertString,
     N'@InsOrderID INT, @InsCustID INT, @InsOrdDate DATETIME,
       @InsOrdMonth INT, @InsDelDate DATETIME',
     @PrmOrderID, @PrmCustomerID, @PrmOrderDate,
     @OrderMonth, @PrmDeliveryDate

GO
 

在该过程中使用 sp_executesql 比使用 EXECUTE 执行字符串更有效。使用 sp_executesql 时,只生成 12 个版本的 INSERT 字符串,每个月的表对应 1 个字符串。使用 EXECUTE 时,因为参数值不同,每个 INSERT 字符串均是唯一的。尽管两种方法生成的批处理数相同,但因为 sp_executesql 生成的 INSERT 字符串都相似,所以查询优化器更有可能重复使用执行计划。

C. 使用 OUTPUT 参数
以下示例使用 OUTPUT 参数将由 SELECT 语句生成的结果集存储于 @SQLString 参数中。 然后将执行两个使用 OUTPUT 参数值的 SELECT 语句。
USE AdventureWorks2008R2; GO DECLARE @SQLString nvarchar(500); DECLARE @ParmDefinition nvarchar(500); DECLARE @SalesOrderNumber nvarchar(25); DECLARE @IntVariable int; SET @SQLString = N'SELECT @SalesOrderOUT = MAX(SalesOrderNumber)     FROM Sales.SalesOrderHeader     WHERE CustomerID = @CustomerID'; SET @ParmDefinition = N'@CustomerID int,     @SalesOrderOUT nvarchar(25) OUTPUT'; SET @IntVariable = 22276; EXECUTE sp_executesql     @SQLString     ,@ParmDefinition     ,@CustomerID = @IntVariable     ,@SalesOrderOUT = @SalesOrderNumber OUTPUT; -- This SELECT statement returns the value of the OUTPUT parameter. SELECT @SalesOrderNumber; -- This SELECT statement uses the value of the OUTPUT parameter in -- the WHERE clause. SELECT OrderDate, TotalDue FROM Sales.SalesOrderHeader WHERE SalesOrderNumber = @SalesOrderNumber;

实例:

CREATE PROCEDURE [dbo].[GetRecordByPage]

    @TblName nvarchar(4000),

    @FldName nvarchar(4000),

    @SqlWhere nvarchar(4000),

    @PageIndex INT,

    @PageSize INT,

    @OrderFild nvarchar(1000),

    @RecordCount int output

    AS

BEGIN

    DECLARE @sqlCount nvarchar(max)

    DECLARE @sqlData nvarchar(max)

    if(@FldName='')

    begin

      set @FldName='*'

    end

    Set @sqlCount='SET @num = (SELECT COUNT(*) FROM '+@TblName

    IF (@sqlWhere !='')

    SET @sqlCount=@sqlCount+' Where ('+@SqlWhere+')'

    Set @sqlCount=@sqlCount+')'

   

    Set @sqlData=';WITH temp AS'

    Set @sqlData=@sqlData+'('

    Set @sqlData=@sqlData+'  Select '+@FldName+', '

    Set @sqlData=@sqlData+'  ROW_NUMBER() OVER (order by '+@OrderFild+') as RowNumber '

    Set @sqlData=@sqlData+'  From '+@TblName

    IF (@sqlWhere !='')

    Begin

    SET @sqlData=@sqlData+'  Where ('+@SqlWhere+')'

    End

    Set @sqlData=@sqlData+')'

    print @sqlData

    Set @sqlData=@sqlData+'SELECT * '

    Set @sqlData=@sqlData+'FROM temp '

    Set @sqlData=@sqlData+'WHERE RowNumber Between '+convert(nvarchar,(@PageIndex-1)*@PageSize+1)

+' And '+convert(nvarchar,@PageSize*@PageIndex)

   --EXEC sp_executesql @sqlCount,N'@RecordCount int out',@RecordCount OutPut

   --print @sqlData

   --exec sp_executesql @sqlData

    SET NOCOUNT ON;

    exec sp_executesql @stmt=@sqlCount,

       @Params=N'@num as int output',

       @num=@RecordCount OutPut

    exec sp_executesql @sqlData

END



  评论这张
 
阅读(659)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017