動態SQL是什么？？什么是靜態SQL，動態SQL的動態體現在哪里？？？

首先，所謂SQL的動態和靜態，是指SQL語句在何時被編譯和執行，二者都是用在SQL嵌入式編程中的，這里所說的嵌入式是指將SQL語句嵌入在高級語言中，而不是針對於單片機的那種嵌入式編程。
在某種高級語言中，如果嵌入了SQL語句，而這個SQL語句的主體結構已經明確，例如在Java的一段代碼中有一個待執行的SQL“select * from t1 where c1>5”，在Java編譯階段，就可以將這段SQL交給數據庫管理系統去分析，數據庫軟件可以對這段SQL進行語法解析，生成數據庫方面的可執行代碼，這樣的SQL稱為靜態SQL，即在編譯階段就可以確定數據庫要做什么事情。
而如果嵌入的SQL沒有明確給出，如在Java中定義了一個字符串類型的變量sql：String sql;，然后采用preparedStatement對象的execute方法去執行這個sql，該sql的值可能等於從文本框中讀取的一個SQL或者從鍵盤輸入的SQL，但具體是什么，在編譯時無法確定，只有等到程序運行起來，在執行的過程中才能確定，這種SQL叫做動態SQL。例如每一種數據庫軟件都有能夠執行SQL語句的界面，那個界面接收的SQL就是動態SQL，因為數據庫廠商在做這個界面時，並不知道用戶會輸入哪些SQL，只有在該界面執行后，接收了用戶的實際輸入，才知道SQL是什么。
另外還要注意一點，在SQL中如果某些參數沒有確定，如"select * from t1 where c1>? and c2<?"，這種語句是靜態SQL，不是動態SQL，雖然個別參數的值不知道，但整個SQL的結構已經確定，數據庫是可以將它編譯的，在執行階段只需將個別參數的值補充進來即可。

動態SQL：code that is executed dynamically。它一般是根據用戶輸入或外部條件動態組合的SQL語句塊。動態SQL能靈活的發揮SQL強大的功能、方便的解決一些其它方法難以解決的問題。相信使用過動態SQL的人都能體會到它帶來的便利，然而動態SQL有時候在執行性能(效率)上面不如靜態SQL，而且使用不恰當，往往會在安全方面存在隱患(SQL 注入式攻擊)。

 

動態SQL可以通過EXECUTE 或SP_EXECUTESQL這兩種方式來執行。（來自MSDN）

 

 

EXECUTE 

 

執行 Transact-SQL 批中的命令字符串、字符串或執行下列模塊之一：系統存儲過程、用戶定義存儲過程、標量值用戶定義函數或擴展存儲過程。SQL Server 2005 擴展了 EXECUTE 語句，以使其可用於向鏈接服務器發送傳遞命令。此外，還可以顯式設置執行字符串或命令的上下文

 

SP_EXECUTESQL

 

執行可以多次重復使用或動態生成的 Transact-SQL 語句或批處理。Transact-SQL 語句或批處理可以包含嵌入參數。在批處理、名稱作用域和數據庫上下文方面，SP_EXECUTESQL 與 EXECUTE 的行為相同。SP_EXECUTESQL stmt 參數中的 Transact-SQL 語句或批處理在執行 SP_EXECUTESQL 語句時才編譯。隨后，將編譯 stmt 中的內容，並將其作為執行計划運行。該執行計划獨立於名為 SP_EXECUTESQL 的批處理的執行計划。SP_EXECUTESQL 批處理不能引用調用 SP_EXECUTESQL 的批處理中聲明的變量。SP_EXECUTESQL 批處理中的本地游標或變量對調用 SP_EXECUTESQL 的批處理是不可見的。對數據庫上下文所作的更改只在 SP_EXECUTESQL 語句結束前有效。

 

如果只更改了語句中的參數值，則 sp_executesql 可用來代替存儲過程多次執行 Transact-SQL 語句。因為 Transact-SQL 語句本身保持不變，僅參數值發生變化，所以 SQL Server 查詢優化器可能重復使用首次執行時所生成的執行計划。

 

一般來說，我們推薦、優先使用SP_EXECUTESQL來執行動態SQL，一方面它更加靈活、可以有輸入輸出參數、另外一方面，查詢優化器更有可能重復使用執行計划，提高執行效率。還有就是使用SP_EXECUTESQL能提高安全性；當然也不是說要完全擯棄EXECUTE，在特定場合下，EXECUTE比SP_EXECUTESQL更方便些，比如動態SQL字符串是VARCHAR類型、不是NVARCHAR類型。SP_EXECUTESQL 只能執行是Unicode的字符串或是可以隱式轉換為ntext的常量或變量、而EXECUTE則兩種類型的字符串都能執行。

 

下面我們來對比看看EXECUTE 和SP_EXECUTESQL的一些細節地方。

 

 
           
EXECUTE (N'SELECT * FROM Groups')      --執行成功 
           
EXECUTE ('SELECT * FROM Groups')       --執行成功 
           
 
           
SP_EXECUTESQL N'SELECT * FROM Groups'; --執行成功 
           
SP_EXECUTESQL 'SELECT * FROM Groups'   --執行出錯 
          

 

Summary:EXECUTE 可以執行非Unicode或Unicode類型的字符串常量、變量。而SP_EXECUTESQL只能執行Unicode或可以隱式轉換為ntext的字符串常量、變量。

 

 

 

            DECLARE @GroupName VARCHAR(50); 
           
 
           
SET @GroupName = 'SuperAdmin'; 
           
 
           
EXECUTE ('SELECT * FROM Groups WHERE GroupName=''' + SUBSTRING(@GroupName, 1,5) + ''''); --'SUBSTRING' 附近有語法錯誤。 
           
 
           
 
           
 
           
DECLARE @Sql VARCHAR(200); 
           
DECLARE @GroupName VARCHAR(50); 
           
 
           
SET @GroupName = 'SuperAdmin'; 
           
SET @Sql = 'SELECT * FROM Groups WHERE GroupName=''' + SUBSTRING(@GroupName, 1,5) + '''' 
           
--PRINT @Sql; 
           
EXECUTE (@Sql); 
          

 

 Summary：EXECUTE 括號里面只能是字符串變量、字符串常量、或它們的連接組合，不能調用其它一些函數、存儲過程等。 如果要使用，則使用變量組合，如上所示。

            DECLARE @Sql VARCHAR(200); 
           
DECLARE @GroupName VARCHAR(50); 
           
 
           
SET @GroupName = 'SuperAdmin'; 
           
SET @Sql = 'SELECT * FROM Groups WHERE GroupName=@GroupName' 
           
--PRINT @Sql; 
           
EXECUTE (@Sql);  --出錯：必須聲明標量變量 "@GroupName"。 
           
 
           
SET @Sql = 'SELECT * FROM Groups WHERE GroupName=' + QUOTENAME(@GroupName, '''') 
           
EXECUTE (@Sql);  --正確： 
           
 
           
 
           
 
           
DECLARE @Sql NVARCHAR(200); 
           
DECLARE @GroupName NVARCHAR(50); 
           
 
           
SET @GroupName = 'SuperAdmin'; 
           
SET @Sql = 'SELECT * FROM Groups WHERE GroupName=@GroupName' 
           
PRINT @Sql; 
           
EXEC SP_EXECUTESQL @Sql, N'@GroupName NVARCHAR',@GroupName  
           
查詢出來沒有結果，沒有聲明參數長度。 
           
 
           
 
           
DECLARE @Sql NVARCHAR(200); 
           
DECLARE @GroupName NVARCHAR(50); 
           
 
           
SET @GroupName = 'SuperAdmin'; 
           
SET @Sql = 'SELECT * FROM Groups WHERE GroupName=@GroupName' 
           
PRINT @Sql; 
           
EXEC SP_EXECUTESQL @Sql, N'@GroupName NVARCHAR(50)',@GroupName  
          

 

 Summary：動態批處理不能訪問定義在批處理里的局部變量 。 SP_EXECUTESQL 可以有輸入輸出參數，比EXECUTE靈活。

 

下面我們來看看EXECUTE , SP_EXECUTESQL的執行效率，首先把緩存清除執行計划，然后改變用@GroupName值SuperAdmin、CommonUser、CommonAdmin分別執行三次。然后看看其使用緩存的信息

 

 

 

            DBCC FREEPROCCACHE;  
           
 
           
 
           
DECLARE @Sql VARCHAR(200); 
           
DECLARE @GroupName VARCHAR(50); 
           
 
           
SET @GroupName = 'SuperAdmin'; --'CommonUser', 'CommonAdmin' 
           
SET @Sql = 'SELECT * FROM Groups WHERE GroupName=' + QUOTENAME(@GroupName, '''') 
           
EXECUTE (@Sql);  
           
 
           
 
           
SELECT cacheobjtype, objtype, usecounts, sql 
           
FROM sys.syscacheobjects 
           
WHERE sql NOT LIKE '%cache%' 
           
  AND sql NOT LIKE '%sys.%'; 
          

 

 如下圖所示

 

 

依葫蘆畫瓢，接着我們看看SP_EXECUTESQL的執行效率.

             DBCC FREEPROCCACHE;  
            
 
            
 
            
DECLARE @Sql NVARCHAR(200); 
            
DECLARE @GroupName NVARCHAR(50); 
            
 
            
SET @GroupName = 'SuperAdmin'; --'CommonUser', 'CommonAdmin' 
            
SET @Sql = 'SELECT * FROM Groups WHERE GroupName=@GroupName' 
            
EXECUTE SP_EXECUTESQL @Sql, N'@GroupName NVARCHAR(50)', @GroupName;  
            
 
            
 
            
SELECT cacheobjtype, objtype, usecounts, sql 
            
FROM sys.syscacheobjects 
            
WHERE sql NOT LIKE '%cache%' 
            
  AND sql NOT LIKE '%sys.%'; 
           

 

 

執行結果如下圖所示：

 

Summary：EXEC 生成了三個獨立的 ad hoc 執行計划，而用SP_EXECUTESQL只生成了一次執行計划，重復使用了三次，試想如果一個庫里面，有許多這樣類似的動態SQL，而且頻繁執行，如果采用SP_EXECUTESQL就能提高性能。