sqlserver中的exec和sp_executesql都能执行动态的sql语句和存储过程,但exec用法较为简单,不能带参数,也没有返回参数。
sp_executesql则显得功能更加完善,可以用输入参数和输出参数,下面这个例子记录了sp_executesql的用法。
declare @sql nvarchar(1000), @oazaName varchar(20), @cnt int set @oazaName = 'abc' set @sql = 'select @count=count(*) from dbo.Aza where oazaName like ''%'' + @oazaName + ''%''' print @sql -- 注意like查询时用变量该如何拼接 '%' + -- 输出SQL语句:select @count=count(*) from dbo.Aza where oazaName like '%' + @oazaName + '%' exec sp_executesql --这里定义sql文 @stmt=@sql, --这里书写@sql中用到的变量,多个变量时,将全部定义放到@params变量里 @params =N'@oazaName as varchar(20),@count as int output', --下面的赋值语句个数由@params定义的变量个数决定, --注意输出变量的定义和赋值语句处都要加output关键字 @oazaName ='飯', @count =@cnt output -- 查看输出变量的值,感觉@cnt是传的地址(类似与C#的ref关键字) select @cnt
对于带参数的查询,可以防止sql注入等攻击,因此有必要好好掌握sp_executesql的用法。