存储过程EXEC vs sp_executesql的区别?

前端之家收集整理的这篇文章主要介绍了存储过程EXEC vs sp_executesql的区别?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我已经用sp_executesql编写了两个存储过程,其他没有sp_executesql
两者都正在执行相同的结果,我没有得到什么区别

EXEC (@sql) vs EXEC sp_executesql @sql,N’@eStatus varchar(12)’,
@eStatus = @Status

和EXEC(@sql)如何易于sql注入和sp_executesql @sql ……不是?

没有sp_executesql的存储过程下面

ALTER proc USP_GetEmpByStatus
(
@Status varchar(12)
)
AS
BEGIN
DECLARE @TableName AS sysname = 'Employee'
Declare @Columns as sysname = '*'
DECLARE @sql as nvarchar(128) = 'select ' + @Columns + ' from ' + @TableName + ' where Status=' + char(39) + @Status + char(39)
print (@sql)
EXEC (@sql)
END

EXEC USP_GetEmpByStatus 'Active'

以下存储过程与sp_executesql

create proc USP_GetEmpByStatusWithSpExcute
(
@Status varchar(12)
)
AS
BEGIN
DECLARE @TableName AS sysname = 'JProCo.dbo.Employee'
Declare @Columns as sysname = '*'
DECLARE @sql as nvarchar(128) = 'select ' + @Columns + ' from ' + @TableName + ' where Status=' + char(39) + @Status + char(39)
print @sql
exec sp_executesql @sql,N'@eStatus varchar(12)',@eStatus = @Status
END

EXEC USP_GetEmpByStatusWithSpExcute 'Active'

解决方法

你的sp_executesql sql应该是;
DECLARE @sql as nvarchar(128) = 'select ' + @Columns + ' from ' + 
            @TableName + ' where Status=@eStatus'

这将允许您使用@eStatus作为参数调用sp_executesql,而不是将其嵌入到sql中.这将有利于@eStatus可以包含任何字符,如果需要安全,它将被数据库自动正确地转义.

对应于EXEC所需的sql;

DECLARE @sql as nvarchar(128) = 'select ' + @Columns + ' from ' + 
            @TableName + ' where Status=' + char(39) + @Status + char(39)

…嵌入@Status中的char(39)将使您的sql无效,并可能创建sql注入的可能性.例如,如果@Status设置为O’Reilly,则生成sql将为;

select acol,bcol,ccol FROM myTable WHERE Status='O'Reilly'

猜你在找的MsSQL相关文章