动态SQL:code that is executed dynamically。一般是根据用户输入或外部条件动态组合的SQL语句块,能灵活的发挥SQL强大的功能,然而有时候在性能上不如静态SQL,而且使用不恰当,往往会在安全方面存在隐患(SQL 注入式攻击)。
动态SQL可以通过EXECUTE 或SP_EXECUTESQL两种方式执行。
EXECUTE
执行 Transact-SQL 中的字符串或下列模块之一:系统或用户定义存储过程、标量值用户定义函数或扩展存储过程。SQL Server 2005 扩展了 EXECUTE 语句,可用于向链接服务器发送命令,还可以显式设置执行字符串或命令的上下文。
SP_EXECUTESQL
执行可以多次重复使用或动态生成的 Transact-SQL,其中可以包含嵌入参数。生成的语句在执行 SP_EXECUTESQL 语句时才编译,随后将编译 stmt 中的内容,并将其作为执行计划运行。对数据库上下文所作的更改只在 SP_EXECUTESQL 语句结束前有效。
如果只更改了语句中的参数值,则 sp_executesql 可用来代替存储过程多次执行 Transact-SQL 语句。因为 Transact-SQL 语句本身保持不变,仅参数值发生变化,SQL Server 查询优化器可能重复使用首次执行时所生成的执行计划。
一般来说,我们推荐优先使用SP_EXECUTESQL来执行动态SQL,一方面它更加灵活、可以有输入输出参数、另外一方面,查询优化器更有可能重复使用执行计划,提高执行效率,还有就是使用SP_EXECUTESQL能提高安全性。当然也不是说要完全摈弃EXECUTE,在特定场合下,EXECUTE比SP_EXECUTESQL更方便些,比如动态SQL字符串是VARCHAR类型、不是NVARCHAR类型。SP_EXECUTESQL 只能执行是Unicode的字符串或是可以隐式转换为ntext的常量或变量、而EXECUTE则两种类型的字符串都能执行。
下面我们来对比看看EXECUTE 和SP_EXECUTESQL的一些细节。
EXECUTE 可以执行非Unicode或Unicode类型的字符串常量、变量。而SP_EXECUTESQL只能执行Unicode或可以隐式转换为ntext的字符串常量、变量。
EXECUTE 括号中只能是字符串变量、常量、或它们的连接组合,不能调用其它函数、存储过程等。 如果要使用,需使用变量组合。
动态批处理不能访问定义在批处理中的局部变量 。 SP_EXECUTESQL 可以有输入输出参数,比EXECUTE灵活。
下面我们来看看EXECUTE , SP_EXECUTESQL的执行效率,首先清除缓存执行计划,然后改变用@GroupName值SuperAdmin、CommonUser、CommonAdmin分别执行三次,看看其使用缓存的信息。
接着我们看看SP_EXECUTESQL的执行效率.
可以看到,EXECUTE生成了三个独立的 adhoc 执行计划,而用SP_EXECUTESQL只生成了一次执行计划,重复使用了三次,试想如果一个库里面,有许多这样类似的动态SQL,而且频繁执行,采用SP_EXECUTESQL就能提高性能。
版权声明:
本文来源网络,所有图片文章版权属于原作者,如有侵权,联系删除。
本文网址:https://www.mushiming.com/mjsbk/10011.html