Tworzenie instrukcji w momencie uruchamiania

Most Microsoft SQL Server applications that have to dynamically build SQL statements at run time do so before calling a database API function or method to execute the statement.Na przykład aplikacja języka C, przy użyciu mechanizmu ODBC można dynamicznie utworzyć jedną lub więcej instrukcji SQL w tablicy znaków, a następnie przekazać tę tablicę ODBC SQLPrepare or SQLExecDirect funkcje.

Transact-SQL obsługuje następujące metody tworzenia instrukcji SQL przy uruchomieniu czas w Transact-SQL skrypty, procedur przechowywanych i wyzwalaczy:

• Use the sp_executesql system stored procedure to execute a Unicode string.sp_executesql supports parameter substitution similar to the RAISERROR statement.

• wykonać ciąg znaków, należy użyć instrukcja wykonać.instrukcja wykonać nie obsługuje parametrów podstawienia w ciąg wykonywany.

  Security Note:
  wykonać ciąg przy użyciu instrukcja wykonać ułatwia ataki iniekcji SQL.Firma Microsoft zaleca użycie sp_executesql z parametrami w zamian.

See Also

Concepts

Using sp_executesql

Other Resources

SQL Injection

sp_executesql (języka Transact-SQL)