Instrukcje budynku w czasie wykonywania
Most Microsoft SQL Server applications that have to dynamically build SQL statements at run time do so before calling a database API function or method to execute the statement.Na przykład aplikacji języka C, za pomocą ODBC można dynamicznie utworzyć jedną lub więcej instrukcji SQL w tablicy znaków, a następnie przekazać tę tablicę do ODBC SQLPrepare lub SQLExecDirect funkcji.
Transact-SQLobsługuje następujące metody tworzenia instrukcji SQL przy uruchomieniu czas w Transact-SQL skrypty, procedur przechowywanych i wyzwalaczy:
Use the sp_executesql system stored procedure to execute a Unicode string.sp_executesql supports parameter substitution similar to the RAISERROR statement.
wykonać ciąg znaków, należy użyć instrukcja wykonać.Instrukcja EXECUTE nie obsługuje Podstawienie parametru w ciąg wykonane.
.gif "Uwaga dotycząca zabezpieczeń")
Uwaga dotycząca zabezpieczeńUżycie instrukcja wykonać wykonać ciąg ułatwia ataki z iniekcją SQL.Firma Microsoft zaleca użycie sp_executesql z parametrami w zamian.
Zobacz także