Pரத*_*ீப் 9 performance sql-server dynamic-sql t-sql exec query-performance
最近我们对我们的数据库使用了一个 sql 代码审查工具。建议使用SP_EXECUTESQL代替EXEC.
我知道SP_EXECUTESQL可以帮助我们避免 sql 注入。使用EXECvs时性能有什么不同吗SP_EXECUTESQL?
由于安全性和一致性,这主要是一种偏好,与性能无关(尽管在旧版本的 SQL Server 中这可能更受关注)。
既然有参数,为什么要EXEC()在应该使用的sp_executesql时候使用?EXEC()强制您将所有变量连接成一个字符串,这使得滥用的时机成熟。
我在这里更详细地写了这个:
我还在这里写了关于保护自己免受 SQL 注入的文章:
SQL 注入是一件大事,很多其他人也写过它。
最后,请确保在调用系统过程时使用正确的大小写来匹配存储的内容sys.all_objects- 应该全部小写。否则,如果您的代码被部署到区分大小写的实例,它将开始失败。
首先让我们检查一下这两个命令的含义:
sp_executesql: 执行一个可以多次重复使用的 Transact-SQL 语句或批处理,或者一个动态构建的语句。Transact-SQL 语句或批处理可以包含嵌入式参数。
exec:在 Transact-SQL 批处理中执行命令字符串或字符串,或以下模块之一:系统存储过程、用户定义存储过程、CLR(公共语言运行时)存储过程、标量值用户定义函数或扩展存储过程。EXECUTE 语句可用于向链接服务器发送传递命令。
一些主要的尊重:
sp_executesql 允许对语句进行参数化,因此在 SQL 注入方面比 EXEC 更安全sp_executesql可以利用缓存的查询计划,TSQL 字符串只构建一次,之后每次使用 调用相同的查询时sp_executesql,SQL Server 从缓存中检索查询计划并重用它。参考资料:https:
//blogs.msdn.microsoft.com/turgays/2013/09/17/exec-vs-sp_executesql/
https://msdn.microsoft.com/en-us/library/ms188001.aspx
https:// /msdn.microsoft.com/en-us/library/ms188332.aspx
编辑:
我发现以下关于性能的文章:
性能是这两种存储过程方法之间的争论问题。顾名思义,sp_execute它本身就是一个存储过程,它存储在系统数据库中。SP_ExecuteSQL必须要求将 SQL 字符串传递给它,从而显示更高的缓存机会,从而导致在第二次或以后运行时性能更好。
换句话说,它的参数化动态 T-SQL 鼓励了它的重用。此外,sp_execute 应该有更高的机会在通过exec(). 但是一些专家认为它具有误导性,因为他们认为这两种方法都会缓存计划。事实上,对于非参数化的查询SP_ExecuteSQL显示出与后一个相同的特征。
http://www.technovisitors.com/2014/07/SPExecuteSQL-Vs-Execute-SQL-Server.html
| 归档时间: |
|
| 查看次数: |
17262 次 |
| 最近记录: |