在Sql Server查询语句中使用变量表示表名、字段名等动态查询方式叫动态查询。
当需要根据外部输入的参数来决定要执行的SQL语句时,常常需要动态来构造SQL查询语句,用得比较多的地方就是分页存储过程和执行搜索查询的SQL语句。
一个比较通用的分页存储过程,可能需要传入表名,字段,过滤条件,排序等参数,而对于搜索的话,可能要根据搜索条件判断来动态执行SQL语句。
在SQL Server中有两种方式来执行动态SQL语句,分别是sp_executesql和exec。
sp_executesql相对而言具有更多的优点,它提供了输入输出接口,可以将输入输出变量直接传递到SQL语句中,exec只能通过拼接的方式来实现,安全性没有executesql高。还有一个优点就是sp_executesql,能够重用执行计划,这就大大提高了执行的性能。所以一般情况下建议选择sp_executesql来执行动态SQL语句。
一、sp_executesql存储过程(推荐)
使用存储过程,提供了输入输出的接口,语句可以重用执行。
使用sp_executesql需要注意它后面执行的SQL语句必须是Unicode编码的字符串,所以在声明存储动态SQL语句的变量时必须声明为nvarchar类型,否则在执行的时候会报“过程需要类型为 'ntext/nchar/nvarchar' 的参数 '@statement'”的错误,如果是使用sp_executesql直接执行SQL语句,则必须在前面加上大写字母N,以表明后面的字符串是使用Unicode类型编码的。
语法:
sp_executesql [ @stmt = ] statement [ { , [ @params = ] N'@parameter_name data_type [ OUT | OUTPUT ][ ,...n ]' } { , [ @param1 = ] 'value1' [ ,...n ] } ]
1、简单的查询
declare @TableName varchar(50), @SqlString nvarchar(200), @CourseID int; set @TableName = '课程表'; set @CourseID = 1; set @SqlString = N'select * from ' + quotename(@TableName) + N'where ID = ' + cast(@CourseID as varchar(10)); exec sp_executesql @SqlString;
2、使用输入参数
declare @sql as nvarchar(100); set @sql = N'SELECT orderid,custid,empid,orderdate FROM Sales.Orders WHERE orderid=@orderid;'; exec sys.sp_executesql @stmt = @sql, @params = N'@orderid AS INT', @orderid = 10248;
3、带输出参数的SQL语句
create procedure sp_GetNameByUserId(@userId varchar(100), @userName varchar(100) output) as declare @sql nvarchar(1000); set @sql=N'select @userName=UserName from Student where UserId=@userId'; exec sp_executesql @sql,N'@userId varchar(100),@userName varchar(100) output', @userId, @userName output; select @userName;
综合实例:两个输入参数和一个输出参数
declare @count int, @tableName nvarchar(50), @SQLString nvarchar(max), @proid int, @id int, @ParmDefinition nvarchar(max); set @tableName=N'mytable'; set @proid=433; set @id=159; --set @sql=N'select @count=count(empid) from table27' set @SQLString=N'select @countOUT=count(empid) from ' + @tableName + N' where proid=@proid1 and id<@id1'; set @ParmDefinition=N'@proid1 int,@id1 int,@countOUT int output'; exec sp_executesql @SQLString, @ParmDefinition, @proid1=@proid, @id1=@id, @countOUT=@count output; select @count;
二、EXEC命令
支持普通字符和Unicode字符。exec没有输入输出参数,只能通过拼接的方式来实现。注意转义字符‘的使用。
declare @sql as nvarchar(100); set @sql = N'PRINT ''这条消息是动态SQL命令打印的.'';'; exec (@sql); declare @sql as nvarchar(100); declare @OrderIDs as nvarchar(50) = N'10248,10249,10250'; set @sql = N'SELECT * FROM Sales.Orders WHERE orderid IN (' + @OrderIDs + N');'; exec (@sql);