PL/SQL 训练12--动态sql和绑定变量

--什么是动态SQL？动态PL/SQL
--动态SQL是指在运行时刻才构建执行的SQL语句
--动态PL/SQL是指整个PL/SQL代码块都是动态构建，然后再编译执行

--动态SQL来可以用来干什么？

--执行DDL语句

--支持WEB引用的即席查询和即席更新需求

--软编码的业务规则和公式

--先来看dbms_sql包的使用
DECLARE

  v_cur    number;
  v_sql    varchar2(1000);
  v_result number;
BEGIN
  v_cur := dbms_sql.open_cursor;
  v_sql := 'update ma_users set user_point = :point where user_name = :name';
  dbms_sql.parse(v_cur, v_sql, dbms_sql.native);
  dbms_sql.bind_variable(v_cur, ':point', 10000);
  dbms_sql.bind_variable(v_cur, ':name', '乱世佳人');
  v_result := dbms_sql.execute(v_cur);
  dbms_sql.close_cursor(v_cur);

END;
/

--NDS：原生动态SQL。相较于DBMS_SQL包执行动态SQL要简单的多

--怎么简单法呢？

--只要一个语句就够了
EXECUTE IMMEDIATE --立即执行

--语法
EXECUTE IMMEDIATE SQL_string
[into {defined_varibale[,defined_varibale2]...|record} ]
[using [in|out|in out]] bind_argument
[, [in|out|in out] bind_argument];

--sql_string :包含了SQL语句或者PL/SQL代码块的字符串表达式
--defined_varibale：用于接收查询中某一列值的变量
--record: 用户自定义类型或者基于%rowtype的记录，可以接收查询返回的一行值
--bind_argument:表达式，表达式的值将传给SQL语句或者PL/SQL块，也可以是一个标识符
--这个标识符作为PL/SQL块中调用的函数或者过程的输入或者输出变量

--into:这个字句用于单行的查询，对于查询结果的每一列的值，必须提供一个单独的变量或者一个兼容的记录类型的一个
--字段
--USING子句：利用这个子句给SQL字符串提供绑定参数，同时用于动态SQL和动态PL/SQL
--使用动态PL/SQL时可以指定一个参数模式，缺省模式是IN

DECLARE

  v_cur    number;
  v_sql    varchar2(1000);
  v_result number;
BEGIN

  v_sql := 'update ma_users set user_point = :point where user_name = :name';
  execute immediate v_sql using 10000, '乱世佳人';

END;
/

--EXECUTE IMMEDIATE 可以用于除多行查询以外的SQL语句或者PL/SQL块 ,bulk collect INTO 
--如果sql_string后面带分号，则会按照一个PL/SQL块来处理 否则就是DML或者DDL
--字符串可以带有绑定参数的占位符，但是对象的名字，比如表的名字或者列的名字，不能通过绑定变量传进去
DECLARE

  v_cur    number;
  v_sql    varchar2(1000);
  v_result number;
BEGIN

  v_sql := 'BEGIN update :TAB_NAME set user_point = :point where user_name = :name; END ;';
  execute immediate v_sql
    using  'MA_USERS',10000, '乱世佳人';

END;
/

--想一想为什么对象名字不能通过绑定变量进行传递？

--例子,
--最简单的例子，执行建表语句
BEGIN
  EXECUTE IMMEDIATE 'CREATE TABLE USER_ORDER(USER_ID VARCHAR2(32),ORDER_ID VARCHAR2(32))';
END;
/
--更简单，可以创建通用的方法，比如
create or replace procedure exec_ddl(ddl_string in varchar2)
authid current_user
is 
begin 
    EXECUTE IMMEDIATE ddl_string;
end ;
/
begin 
 exec_ddl('create table user_order_product(order_id varchar2(32),product_id varchar2(32))');
end ;
/

--传递表名，返回数量
create or replace function count_tab(i_table_name in varchar2)
  return number is
  v_count number;
begin

  EXECUTE IMMEDIATE 'select count(1) from ' || i_table_name
    into v_count;
  -- EXECUTE IMMEDIATE 'select count(1) from :table_name'
  --  into v_count using i_table_name;
  return v_count;
end;
/

begin 
  if count_tab('ma_users') <10 then 
    dbms_output.put_line('用户量不超过十个，太逊了');
  end if;
end ;
/

--动态更新列，传进列的名称，就可以更新相应列的值

create or replace function update_col(i_col        in varchar2,
                                      i_val        in varchar2,
                                      i_start_date in date,
                                      i_end_date   in date) return number is

begin
  execute immediate 'update ma_users set ' || i_col ||
                    '=:1 where created_date between :2 and :3'
    using i_val, i_start_date, i_end_date;
  return sql%rowcount;
end;
/

--上述例子使用了绑定参数，对UPDAE语句分析结束后，引擎就会把几个占位符用USING子句中的值替换

--当一个语句在执行的时候，运行引擎会把SQL语句中的每一个占位符用USING语句中对应的绑定参数替换
--注意不能传进NULL直接量，必须通过一个数据类型正确但恰好是NULL值的变量传入

--using语句不能绑定专属于PL/SQL的数据类型，比如布尔类型，关联数组以及用户自定义的记录类型
--支持所有的SQL数据类型

--现在假设需要设计一个任务调度，可以每隔一段时间跑一次，需要入参可配置，任务也可配置

create table ma_schedue_task(task_id varchar2(50),procedure_name varchar2(100));
create table ma_schedue_param(task_id varchar2(50),param_order number,param_value varchar2(100));
declare
  v_task_id varchar(32);
begin
  insert into ma_schedue_task
    values(sys_guid(), 'test_bind(:1,:2)')
  returning task_id into v_task_id;
  insert into ma_schedue_param values (v_task_id, 1, 'test1');
  insert into ma_schedue_param values (v_task_id, 2, 'test2');
  commit;
end;
/
create or replace procedure test_bind(i_test1 in varchar2,
                                      i_test2 in varchar2) is

begin
  dbms_output.put_line(i_test1 || i_test2);

end test_bind;
/
declare
  cursor cur_task is
    select * from ma_schedue_task;
  v_sql varchar2(4000);
begin

  for v in cur_task loop
    v_sql := ' begin execute immediate '' begin ' || v.procedure_name ||
             ' ; end;'' using ';
    for param in (select r.param_value
                    from ma_schedue_param r
                   where r.task_id = v.task_id
                   order by param_order) loop
      v_sql := v_sql || ' ''' || param.param_value || ''',';
    end loop;
    v_sql := rtrim(v_sql, ',') || '; end;';
  
    dbms_output.put_line(v_sql);
   execute immediate v_sql;
  end loop;
end;
/

---OPEN FOR 语句
--上节课讲到游标变量时，用到这个语句
--这个语句可以用来实现多行的动态查询

--语法
OPEN {cursor_variable|:host_cursor_variable} for sql_string
[using bind_argument[,bind_argument]... ];

--cursor_variable； 弱类型的游标变量
-- :host_cursor_variable ：在PL/SQL宿主环境比如OCI程序中声明的游标变量
-- sql_string: 包含了将要动态执行的SELECT 语句
--Using 字句：跟 execute immediate语句遵守同样的规则

create or replace function show_table(i_table in varchar2,
                                      i_where in varchar2)
  return sys_refcursor is
  v_cur sys_refcursor;
begin

  open v_cur for 'select * from ' || i_table || ' where ' || i_where;
  return v_cur;
end show_table;
/
declare
  v_cur  sys_refcursor;
  v_user ma_users%rowtype;
begin
  v_cur := show_table('ma_users', ' user_name=''乱世佳人''');
  loop
    fetch v_cur
      into v_user;
    exit when v_cur%notfound;
    dbms_output.put_line(v_user.user_name || '积分' || v_user.user_point);
  
  end loop;
  close v_cur;
end;
/

--一旦使用OPEN FOR 打开一个查询，接下来获取数据，关闭游标变量，检查游标属性的语法规则和静态游标变量
--以及硬编码的显示游标都是一样的

--执行一个OPEN FOR 语句是，PL/SQL引擎将会做以下事情

--用一个游标变量关联查询字符串中的查询语句
--对绑定参数值，然后用这些值替换查询字符串中的占位符
--执行查询
--识别出结果集
--将游标位置置于结果集的第一行
--把已处理行计数器归零，这个计数器也就是SQL/rowcount返回的值

--值得注意的是，查询语句中的任何绑定参数，都是游标变量在打开时才求值的
--也就是说，如果要把不同的绑定参数值用于同一个动态查询，必须用这些参数再执行一个新的OPEN FOR语句

create or replace procedure show_col(i_table in varchar2,
                                     i_col   in varchar2,
                                     i_where in varchar2 := null)

 is
  v_cur sys_refcursor;
  v_val varchar2(1000);
begin
  open v_cur for 'select ' || i_col || ' from ' || i_table || ' where ' || nvl(i_where,
                                                                               ' 1=1');
  loop
    fetch v_cur
      into v_val;
    exit when v_cur%notfound;
  
    if v_cur%rowcount = 1 then
      dbms_output.put_line(i_col || ' of ' || i_table);
    end if;
    dbms_output.put_line(v_val);
  end loop;
  close v_cur;
end show_col;
/
begin 
   show_col('ma_users','user_name');
end ;
/
--上述例子把数据提取到一个单独的变量中，还可以把数据提取到一系列变量中
--也可以放到一个记录中
--可以为不同的需求创建不同类型的记录类型，这些类型可以放置包中，以便全局可用

--OPEN FOR 中的USING子句
--对于查询语句只能用IN 模式
--通过绑定参数，可以提升SQL语句性能，而且代码更容易编写和维护
--可以显著减少需要缓存在SGA中的编译后不同的语句数量

create or replace procedure show_col1(i_table    in varchar2,
                                      i_col      in varchar2,
                                      i_dcol     in varchar2,
                                      i_bg_date  in date,
                                      i_end_date in date)

 is
  v_cur sys_refcursor;
  v_val varchar2(1000);
begin
  open v_cur for 'select ' || i_col || ' from ' || i_table || ' where ' || i_dcol || ' between :1 and :2'
    using i_bg_date, i_end_date;
  loop
    fetch v_cur
      into v_val;
    exit when v_cur%notfound;
  
    if v_cur%rowcount = 1 then
      dbms_output.put_line(i_col || ' of ' || i_table);
    end if;
    dbms_output.put_line(v_val);
  end loop;
  close v_cur;
end show_col1;
/

begin 
 show_col1('ma_users','user_name','REGISTER_DATE',date '2016-01-01',sysdate);
end ;
/

--四种动态SQL方法
-----------------------------------------------------------------------------------------------------------
--类型 　　　　　　　　　　 说明 　　　　　　　　　　 　　　　　　　　　　　　　　　　　　　　　　　　　　 使用NDS语句
--第一种方法 　　　　　　 非查询；只用于UPATE,INSERT,MERGE,DELETE和DDL语句且不带有绑定变量 　　　　 不带USING into子句的
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　-- EXECUTE IMMEDIATE语句
--第二种方法 　　　　　　 非查询；只用于UPATE,INSERT,MERGE,DELETE且带有绑定变量个数固定 　　　　　　 带有USING子句的
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　-- EXECUTE IMMEDIATE语句
--第三种方法 　　　　　　 带有确定数量的列和绑定变量，返回只有一行数据 　　　　　　　　　　　　　　　　　　 带有USING into子句的
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　--之单行查询 EXECUTE IMMEDIATE语句
--第三种方法之 　　　　　带有固定数量的列和绑定变量，返回多行数据 　　　　　　　　　　　　　　　　　　　　 带有USING BULK COLLECT INTO 的EXECUTE IMMEDIATE语句
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　--多行查询 或者动态字符串的OPEN FOR 语句
--第四种方法　　　　　　语句中选定的列的数量或者绑定数量等到允许时刻才能确定 　　　　　　　　　　　　　　　　 使用DBMS_SQL包
--
-------------------------------------------------------------------------------------------------------------

--绑定变量
--使用绑定变量的规则和情况

--SQL语句中可以绑定的是，可以把动态字符串中的占位符替换成数值的直接量（文本，变量，复杂的表达式）
--不能绑定模式元素的名字（表或者列）或者SQL语句的一整块，比如where 子句
--对于这部分，必须使用拼接的方式

begin
  execute immediate 'update :table set :col = :value where 1=1'
    using 'ma_users', 'user_point', 10000;
end;
/
--为什么会有一个限制呢？
--当给EXECUTE IMMEDIATE 传入一个字符串时，运行时引擎首先必须要解析这个语句
--解析的目的是保证SQL语句是定义良好的
begin
  execute immediate 'update ma_users set user_point = :value where 1=1'
    using 10000;
end;
/

--参数的模式：in,out,in out

--执行动态查询时，所有的绑定参数都必须是IN 模式，除非使用了RETURNING
DECLARE
  V_POINT NUMBER := 1000;
  V_NAME  VARCHAR2(20) := '乱世佳人';
  V_PHONE varchar2(50);
begin
  execute immediate 'update ma_users set user_point = :value where USER_NAME= :NAME
   RETURNING USER_PHONE INTO :PHONE'
    using V_POINT, V_NAME, OUT V_PHONE;
  dbms_output.put_line(v_phone);
end;
/

--除了能用在RETURNING子句，OUT,IN OUT模式的绑定参数在执行动态PL/SQL时发挥比较大的作用
--在动态PL/SQL中绑定参数的模式必须要和PL/SQL程序中参数模式一致

--重复的占位符
--NDS根据位置而不是名字把USING语句的绑定参数关联到占位符的
--当执行一个动态SQL字符串，必须为每一个占位符提供一个参数，即便这些占位符是重复的
--如果执行的是一个动态PL/SQL块，必须为每一个唯一占位符提供一个参数
DECLARE
  V_POINT NUMBER := 1000;
  V_NAME  VARCHAR2(20) := '乱世佳人';
  V_PHONE varchar2(50);
  V_email varchar2(50);
begin
  execute immediate 'update ma_users set user_point = :value where USER_NAME= :value
   RETURNING USER_PHONE,user_email INTO :1,:2'
    using V_POINT, V_NAME, OUT V_PHONE, out V_email;
  dbms_output.put_line(v_phone || V_email);
end;
/

DECLARE
  V_POINT NUMBER := 1000;
  V_NAME  VARCHAR2(20) := '乱世佳人';
  V_PHONE varchar2(50);
  V_email varchar2(50);
begin
  execute immediate 'begin update ma_users set user_name = :value where USER_NAME= :value
   RETURNING USER_PHONE,user_email INTO :1,:2 ; end ;'
    using V_NAME, OUT V_PHONE,out V_email;
  dbms_output.put_line(v_phone||v_email);
end;
/
--NULL值的传递
--把NULL值隐藏在一个变量后面
--通过转换函数把NULL值显示的转换为一个有类型的值

DECLARE
  V_POINT NUMBER := null;
  V_NAME  VARCHAR2(20) := '乱世佳人';
  V_PHONE varchar2(50);
begin

 /*execute immediate 'update ma_users set user_point = :value where USER_NAME= :NAME
   RETURNING USER_PHONE INTO :PHONE'
    using null, V_NAME, OUT V_PHONE;
  dbms_output.put_line(v_phone);*/
  
  /*execute immediate 'update ma_users set user_point = :value where USER_NAME= :NAME
   RETURNING USER_PHONE INTO :PHONE'
    using V_POINT, V_NAME, OUT V_PHONE;
  dbms_output.put_line(v_phone);
  */
  
  execute immediate 'update ma_users set user_point = :value where USER_NAME= :NAME
   RETURNING USER_PHONE INTO :PHONE'
    using to_number(null), V_NAME, OUT V_PHONE;
  dbms_output.put_line(v_phone);
end;
/

---动态PL/SQL
--NDS可以为我们做以下事情
--创建一个程序，包括带有全局访问的数据结构的包
--通过名字获得或修改全局变量的值
--调用那些在编译时刻还不知道名字的函数或者过程

--使用动态PL/SQL块和NDS的规则和技巧

--动态字符串必须是一个有效的PL/SQL块，这个块必须以DECLARE或者BEGIN关键字开始
--使用END关键字和分号结束。如果字符串不以分号结尾，是不会被识别成PL/SQL块的

--在动态块中，只能访问属于全局范围的PL/SQL代码元素。动态块是在局部包围块的作用范围之外执行的
--在动态PL/SQL块中抛出的错误可以在运行EXECUTE IMMEDIATE语句的局部块中捕获并处理

create or replace procedure do_plsql(i_plsql in varchar2) 
is 
begin 
   execute immediate 'begin '|| rtrim(i_plsql,';')||' ; end ;';
end ;
/
--下面这个例子反映了规则二
declare 
  num number ;
begin 
  do_plsql('num := 5');
  exception
    when others then 
       dbms_output.put_line(sqlerrm);
end ;
/

begin
  <<test>>
  declare
    num number;
  begin
    do_plsql('test.num := 5');
  end;
end;
/
create or replace package pkgvars 
is 
   num number ;
end pkgvars;

declare 
  num number ;
begin 
  do_plsql('pkgvars.num := 5;');
end ;
/

--用动态块替换重复的代码

--比如有以下方法
procedure do_task(task_name in varchar2) is 

begin 
   if task_name = 'test' then 
       test;
   elsif task_name = 'test2' then 
      test2;
    ......
   end if;
end ;
/
procedure do_task(task_name in varchar2) is 

begin 
    execute immediate 
    'begin '||task_name||' ; end ;';
end ;
/

--NDS的建议

--对于共享的程序使用调用者权限
create or replace procedure exec_ddl(ddl_string in varchar2)
authid current_user
is 
begin 
    EXECUTE IMMEDIATE ddl_string;
end ;
/

--预估并处理动态的错误
--如果使用大量的动态SQL，很容易迷失方向以至于在代码调试上浪费大量时间
--在调用EXECUTE IMMEDIATE和OPEN FOR 时，总是带上一个异常处理单元
--在每一个异常处理句柄，记录下显示错误发生时的错误信息以及SQL语句
--可以考虑在这些语句之前加上一个“跟踪机制”
create or replace procedure exec_ddl(ddl_string in varchar2)
authid current_user
is 
begin 
    EXECUTE IMMEDIATE ddl_string;
 EXCEPTION
    WHEN OTHERS THEN 
      DBMS_OUTPUT.put_line('FAILLURE:'||DBMS_UTILITY.format_error_backtrace);
      DBMS_OUTPUT.put_line('ON :'||ddl_string);
end ;
/

--使用绑定而不是拼接
DECLARE
  V_POINT NUMBER := 1000;
  V_NAME  VARCHAR2(20) := '乱世佳人';
  V_PHONE varchar2(50);
begin
  execute immediate 'update ma_users set user_point = :value where USER_NAME= :NAME'
    using V_POINT, V_NAME
  dbms_output.put_line(v_phone);
end;
/
DECLARE
  V_POINT NUMBER := 1000;
  V_NAME  VARCHAR2(20) := '乱世佳人';
  V_PHONE varchar2(50);
begin
  execute immediate 'update ma_users set user_point =' || V_POINT ||
                    'where USER_NAME=''' || V_NAME || '''';
  dbms_output.put_line(SQL%ROWCOUNT);
end;
/
--只要有可能使用绑定的方式就不要依赖与拼接

--绑定通常更快速
--绑定的编写和维护都很容易
--绑定有助于避免隐式转换
--绑定避免了发生代码注入的可能性

--对于一些场景，如果使用拼接更有效，那也要毫不犹豫的使用拼接方式

--把代码注入的风险最小化
create or replace procedure show_table1(i_table in varchar2,
                                        i_where in varchar2) is
  v_sql varchar2(1000);
begin
  v_sql := 'declare  v_row ' || i_table || '%rowtype;
   begin 
    select * into v_row from ' || i_table || ' where ' || i_where || '
   end ;';
  dbms_output.put_line(v_sql);
 -- execute immediate v_sql;
end show_table1;
/

declare
begin
  show_table1('ma_users',
                      ' user_name=''乱世佳人'';delete from ma_users ; ');
end;
/

--代码注入也叫SQL注入，可以严重的威胁程序的安全，动态PL/SQL块的执行为代码注入开启了最大的可能性

--限制用户权限
--尽可能使用绑定变量，但使用绑定，也丧失了一些灵活性
--检测动态文本中的危险文本
--用DBMS_ASSERT检验输入
DBMS_ASSERT.SIMPLE_SQL_NAME

---什么时候使用DBMS_SQL
---解析非常长的字符串
--EXECUTE IMMEDIATE 执行的字符串大小限制32K，在11g中可以处理一个CLOB，最大长度4GB
dbms_sql.parse --可以解析任意长度的SQL和PLSQL

---得到查询的列的信息
--dbms_sql可以对动态游标中的列进行描述，以记录的关联数组的形式返回每个列的信息
--用这个功能，可以写出非常通用的游标处理代码
--动态SQL的第四种方法
declare 
   cur pls_integer := dbms_sql.open_cursor;
   cols dbms_sql.desc_tab;
   ncols pls_integer; 
begin 
   dbms_sql.parse(cur,'select user_name ,user_point from ma_users',dbms_sql.native);
   dbms_sql.describe_columns(cur,ncols,cols);
   for i in  1..ncols loop 
      dbms_output.put_line(cols(i).col_name);
   end loop ;
   dbms_sql.close_cursor(cur);
end ;
/

--实现第四种方法的动态SQL的需求
declare
  cursor cur_task is
    select * from ma_schedue_task;
  v_sql    varchar2(4000);
  v_cur    number;
  v_result number;
begin

  for v in cur_task loop
    v_sql := ' begin ' || v.procedure_name || ';end;';
    v_cur := dbms_sql.open_cursor;
    dbms_sql.parse(v_cur, v_sql, dbms_sql.native);
    for param in (select r.param_order, r.param_value
                    from ma_schedue_param r
                   where r.task_id = v.task_id
                   order by param_order) loop
      dbms_sql.bind_variable(v_cur,
                             ':' || param.param_order,
                             param.param_value);
    end loop;
    v_result := dbms_sql.execute(v_cur);
    dbms_sql.close_cursor(v_cur);
  end loop;
end;
/

--11g新特性

dbms_sql.to_refcursor --原生态动态sql和DBMS_SQL的交互

declare
  type string_t is table of varchar2(100);

  function get_data(i_where in varchar2, i_value in string_t)
    return sys_refcursor is
    v_sql        varchar2(1000);
    v_cur        number;
    v_result     number;
    v_result_cur sys_refcursor;
  begin
    v_sql := 'select * from ma_users where ' || i_where;
    v_cur := dbms_sql.open_cursor;
    dbms_sql.parse(v_cur, v_sql, dbms_sql.native);
    for i in 1 .. i_value.count loop
      dbms_sql.bind_variable(v_cur, ':' || i, i_value(i));
    end loop;
    v_result     := dbms_sql.execute(v_cur);
     v_result_cur := dbms_sql.to_refcursor(v_cur);
    return v_result_cur;
  end get_data;
begin
  declare
    v_cur sys_refcursor;
    v_row ma_users%rowtype;
  begin
    v_cur := get_data(' user_name=:1', string_t('乱世佳人'));
    loop
      fetch v_cur
        into v_row;
      exit when v_cur%notfound;
      dbms_output.put_line(v_row.user_point);
    end loop;
    close v_cur;
  end;
end;
/