sp_executesql
前幾天因為系統程式需要執行SQL語句,所以當下就寫了一支預存程序,準備要用exec,去做執行。(之前這麼幹,也沒覺得甚麼不對)
接著,就見到幾篇說明利用EXEC執行SQL語法,可能會遇到SQL Injection的文章,雖然呼叫的C# 程式已經使用參數帶入資料。
但是既然有風險,為什麼不改善它,所以就重新參閱了一些文章,改用Sp_executsql 來執行語句。
以下是範例:......只是使用範例....
--建立變數資料表
DECLARE @TB TABLE
(
PSN int,
PNAME nvarchar(11),
PDATE varchar(8)
)
--利用while塞資料
DECLARE @i int
SET @i = 1
DECLARE @PNAME nvarchar(15),@PDATE varchar(8),@NU varchar(2)
WHILE @i <=15
BEGIN
SET @PDATE = CONVERT(varchar(8), GETDATE(),112)
SET @NU = RIGHT(REPLICATE('0', 2) + CAST(@i as VARCHAR),2)
SET @PNAME = 'P'+@PDATE + @NU
INSERT INTO @TB
VALUES ( @i , @PNAME , @PDATE)
SET @i = @i + 1
END
--SELECT * FROM @TB
--寫入暫存資料表(其實一開始直接存入暫存就好.....但是只是範例,就不改了,使用較快的方式呈現結果)
SELECT * INTO #TB FROM @TB
--DECLARE @PSN varchar(10)
DECLARE @PDATE1 varchar(8)
DECLARE @PNAME1 nvarchar(15)
--設定傳入字串的查詢條件
--SET @PSN = '1,3,5'
SET @PDATE1 = '20170214'
SET @PNAME1 = 'P2017021412'
DECLARE @EXSTR NVARCHAR(MAX)
DECLARE @PARAMS NVARCHAR(50)
BEGIN
SET @EXSTR = N'SELECT * FROM #TB WHERE PNAME = @PNAME AND PDATE = @PDATE ; '
END
--指定變數的參數資料
SET @PARAMS = N'@PNAME NVARCHAR(15),@PDATE NVARCHAR(8)';
--執行時1.語句 2.參數內容 3.參數對應的資料
EXEC dbo.sp_executesql @EXSTR, @PARAMS, @PNAME=@PNAME1 ,@PDATE = @PDATE1
--刪除暫存
DROP TABLE #TB
實際操作起來,確實也看到了一些問題,例如如果遇到SQL語句要用IN 查詢.....該怎麼處理?
之前使用EXEC的作法,是利用Function 將字串 轉成Table做查詢。目前尚沒有時間測試.....(下次再說吧!!...偷懶ing....)
參考資料來源:
Hunterpo's IT Vision 動態 SQL 威力展示 (1) - 基本概念
RiCo技術農場 [SQL SERVER]使用 sp_executesql 取代 exec
水滴可成涓流,涓流可成湖泊大海。
汲取累積知識,將知識堆積成常識;將常識探究成學識;將學識簡化為知識;授人自省。
