16.1 NDS语句
16.1.1 EXECUTE IMMEDIATE语句
EXECUTE IMMEDIATE SQL_string [INTO {define_variable[, define_variable]...| record}] [USING [IN | OUT | IN OUT] bind_argument
[, [IN | OUT | IN OUT] bind_argument]...];
我们可以把这个语句用于除了多行查询以外的任何SQL语句或者PL/SQL块。如果SQL_string后面带了分号,这就会按照一个PL/SQL块来处理;否则,就会按照DML或者DDL语句来处理。
16.1.2 OPEN FOR语句
OPEN {cursor_variable |:host_cursor_variable} FOR SQL_string
[USING bind_argument [, bind_argument]...];
16.2 绑定变量
16.2.2 重复的占位符
- 当我们执行一个动态SQL字符串,我们必须为每一个占位符都提供一个参数,即使这些占位符是重复的。
- 如果我们执行的是一个动态PL/SQL块,我们必须为每一个唯一占位符提供一个参数。
16.2.3 NULL值的传递
我们不能直接将NULL直接量当做参数来进行传递。
- 把NULL值隐藏在一个变量后面,如果用一个未初始化的的变量做起来会更容易些。* 通过转换函数把NULL值显式的转换成一个有类型的值。
16.4 动态PL/SQL
- 动态字符串必须是在一个有效的PL/SQL块,这个块必须是以DECLARE或者BEGIN关键字开始,用END关键字和分号结束。如果字符串不是用分号结尾的,是不会被识别成PL/SQl块的。
- 动态块中,我们只能访问属于全局作用范围的PL/SQl代码元素。
- 在动态PL/SQL块招聘的错误可以在运行EXECUTE IMMEDIATE语句的局部块中捕获并处理。
16.5 NDS的建议
16.5.1 对于共享程序使用调用者权限
建议对所有的动态SQL程序都和要加上AUTHID CURRENT_USER子句,尤其对那些计划要提供给开发人员使用的程序更是如此。
16.5.2 预估并处理动态的错误
- 在调用EXECUTE IMMEDIATE和OPEN FOR时,总是带上一个异常处理单元。
- 在每一个异常处理句柄里,记录下或者显示错误发生时的错误消息以及SQL语句。
- 也可以考虑在这些语句之前加上一个跟踪机制,这样我们就可以很容易的对动态SQL的构造和执行进行观察了。
16.5.3 使用绑定而不是拼接
- 绑定通常更快速
- 绑定的编写和维护都很容易
- 绑定有助于避免隐式转换
- 绑定避免了发生代码注入的可能性
不过,使用绑定也有一些潜在的缺陷。绑定变量会忽略柱状统计信息,因为绑定变量的值是在语句解析后赋值的。对于CBO来说,可用信息太少了,有可能无法为我们的SQL语句提供最好的执行计划。
16.5.5 把代码注入的风险最小化
- 限制用户权限
- 尽可能使用绑定变量
- 检查动态文本中的危险文本
- 用DBMS_ASSERT校验输入
16.6 使用时候使用DBMS_SQL
16.6.1 解析非常长的字符串
Oracle10g的EXECUTE IMMEDIATE所能执行的VARCHAR2字符串,其内容最大长度限制是32K。如果超过这个长度就要用DBM_SQL了。 不过11g中EXECUTE IMMEDIATE可以执行一个VARCHAR2字符串或者一个CLOB,后者的最大长度可以有4GB。
16.6.2 得到查询的列的信息
DBMS_SQL允许我们对动态游标中的列进行描述,以记录的关联数组形式返回每个列的信息。
16.6.4 把动态游标的解析最小化
EXECUTE IMMEDIATE有一个缺陷,每次执行一个动态字符串时,都需要重新准备,通常包括会解析、优化以及生成执行计划。对于大部分动态SQL的需求而言,这些步骤所带来的开销可以被NDS的一些其他好处所抵消。
16.7 Oracle11g新特性
16.7.1 DBMS_SQL.TO_REFCURSOR函数
16.7.2 DBMS_SQL.TO_CURSOR
对于标红的那句话在itpub中有实际的例子可以进行解释:plsql块和普通sql语句中的绑定变量