当前位置: 首页 > 图文教程 > 数据库 > MSSQL > 动态SQL语句

MSSQL
保护SQL Server 2000的十个步骤
突破一流信息监控拦截系统进行SQL注射
Oracle8的不安全因素及几点说明
数据库安全性策略(1)
数据库安全性策略 (2)
浅谈数据库的攻击
SQL数据库的一些攻击
怎样使MySQL安全以对抗解密高手
不当编写SQL语句导致系统不安全
调整重心-从IIS到SQL Server数据库安全
SQL Server:安全设计从头起
保护SQL Server:为安全性而安装
网站入侵过程!
网管,你的防火墙上也有“洞”吗
跟我学SQL:(三)使用SQL子选择来合并查询
跟我学SQL:(四)查询多个表格
跟我学SQL:(五)创建和修改表格
跟我学SQL:(六)串行数据类型
跟我学SQL:(八)数值数据类型
跟我学SQL:(九)datetime和interval数据类型

MSSQL 中的 动态SQL语句


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-30   浏览: 64 ::
收藏到网摘: n/a

1:普通SQL语句可以用Exec执行
eg:   Select * from tableName
      Exec('select * from tableName')
      sp_executesql N'select * from tableName'    -- 请注意字符串前一定要加N

2:字段名,表名,数据库名之类作为变量时,必须用动态SQL
eg:  
declare @fname varchar(20)
set @fname = '[name]'
Select @fname from sysobjects                     -- 错误
Exec('select ' + @fname + ' from sysobjects')     -- 请注意 加号前后的 单引号的边上要加空格
exec sp_executesql N' select ' + @fname + ' from sysobjects'
当然将字符串改成变量的形式也可
    declare @s varchar(1000)
    set @s = 'select ' + @fname + ' from sysobjects'
    Exec(@s)                -- 成功
    exec sp_executesql @s   -- 此句会报错

    declare @s Nvarchar(1000)  -- 注意此处改为nvarchar(1000)
    set @s = 'select ' + @fname + ' from sysobjects'
    Exec(@s)                -- 成功   
    exec sp_executesql @s   -- 此句正确,

3: 输出参数
eg:
declare @num,
        @sqls
set @sqls='select count(*) from  ' + @servername + '.a.dbo.b'
exec(@sqls)
我如何能将exec执行的结果存入变量@num中

declare @num int,
        @sqls nvarchar(4000)
set @sqls='select @a=count(*) from '+@servername+'.a.dbo.b'
exec sp_executesql @sqls,N'@a int output',@num output
select @num