EXEC sp_executesql 与 EXEC 的区别、使用场景和例子

在 SQL Server 中，EXEC 和 sp_executesql 都可以用来执行动态 SQL 语句，但它们有一些区别和适用场景。

区别

• EXEC：EXEC 是一个 T-SQL 语句，用于执行指定的字符串作为 SQL 语句或存储过程名称。它会立即执行给定的字符串，并且每次执行都会生成一个新的执行计划。EXEC 不支持参数化查询，因此不能防止 SQL 注入攻击。

• sp_executesql：sp_executesql 是一个系统存储过程，用于执行动态 SQL 语句。与 EXEC 不同的是，sp_executesql 支持参数化查询，可以提高性能和安全性，因为 SQL Server 可以缓存已编译的执行计划以供重复使用。

使用场景

• EXEC 适用于简单的动态 SQL 语句，不需要参数化查询的场景。

• sp_executesql 适用于需要动态构建 SQL 语句，并且希望使用参数化查询以提高性能和防止 SQL 注入攻击的场景。

例子

使用 EXEC 执行简单动态 SQL 语句

DECLARE @sql NVARCHAR(MAX);
SET @sql = N'SELECT * FROM Users';
EXEC(@sql);

使用 sp_executesql 执行动态 SQL 语句，并传入参数

DECLARE @sql NVARCHAR(MAX);
DECLARE @paramDefinition NVARCHAR(MAX);
DECLARE @UserId INT;
 
SET @UserId = 1;
SET @sql = N'SELECT * FROM Users WHERE Id = @UserId';
SET @paramDefinition = N'@UserId INT';
 
EXEC sp_executesql @sql, @paramDefinition, @UserId;

在这个例子中，我们使用了 sp_executesql 来执行动态 SQL 语句，并传入了一个参数 @UserId。通过参数化查询，我们可以安全地传递参数，避免了 SQL 注入攻击的风险。