EXEC和sp_executesql的区别有哪些

 

1、 性能：

 

官方描述：sp_executesqlstmt 参数中的 Transact-SQL 语句或批处理在执行 sp_executesql 语句时才编译。随后，将编译stmt 中的内容，并将其作为执行计划运行。该执行计划独立于名为 sp_executesql 的批处理的执行计划。sp_executesql 批处理不能引用调用sp_executesql 的批处理中声明的变量。sp_executesql 批处理中的本地游标或变量对调用sp_executesql 的批处理是不可见的。对数据库上下文所做的更改只在 sp_executesql 语句结束前有效。如果只更改了语句中的参数值，则sp_executesql 可用来代替存储过程多次执行 Transact-SQL 语句。因为 Transact-SQL 语句本身保持不变，仅参数值发生变化，所以 SQL Server 查询优化器可能重复使用首次执行时所生成的执行计划。

说通俗一点就是：如果用 EXEC 执行一条动态 SQL 语句，由于每次传入的参数不一样，所以每次生成的 @sql 就不一样，这样每执行一次SQL SERVER 就必须重新将要执行的动态 Sql 重新编译一次 。但是SP_EXECUTESQL 则不一样，由于将数值参数化，要执行的动态 Sql 永远不会变化，只是传入的参数的值在变化，那每次执行的时候就不用重新编译，速度和效率自然有所提升。

 

2、灵活性

 

从上面的例子我们已经能够看出 SP_EXECUTESQL 命令比 EXEC 命令更灵活，因为它提供一个接口，该接口及支持输入参数也支持输出参数。

 

3、安全性

 

EXEC 执行纯动态SQL，执行时可能无法使用预编译的执行计划，关键是不安全，可以导致 SQL 注入 ，而 SP_EXECUTESQL执行参数化动态 SQL ,执行时能使用预编译的执行计划，而且保存存储过程时就可以确定可以使用的预编译的执行计划，而且最重要的是“安全”，天然免疫SQL 注入

 

 

参考资料：    EXEC和sp_executesql的区别      http://www.studyofnet.com/news/439.html