executesql 存储过程怎么用？有哪些使用场景和注意事项？

executesql 是 SQL Server 内置的系统存储过程，主要用来执行动态生成的 SQL 语句，相比直接拼接字符串执行 SQL，它支持参数化传递，能有效提升执行安全性，也便于 SQL 语句的执行计划复用。下面我们一步步了解它的具体用法。

executesql 基本语法

executesql 的语法结构如下，主要包含需要执行的 SQL 语句字符串和执行时使用的参数定义、参数值两部分：

-- 基本语法结构
EXEC sp_executesql 
    @sql_statement,                -- 要执行的动态SQL字符串
    @parameter_definition,         -- 参数定义部分，声明参数的类型和名称
    @parameter1 = value1,          -- 传入的参数值，和定义部分对应
    @parameter2 = value2

基础使用示例

下面通过一个简单的查询示例，展示 executesql 的基本使用方式，查询指定用户 ID 的用户信息：

-- 定义动态SQL语句，使用参数占位符
DECLARE @sql NVARCHAR(1000)
DECLARE @userId INT = 5
DECLARE @userName NVARCHAR(50)

SET @sql = N'SELECT @name = UserName FROM UserInfo WHERE UserId = @id'

-- 执行 executesql，传入参数定义和参数值
EXEC sp_executesql 
    @sql,
    N'@id INT, @name NVARCHAR(50) OUTPUT',  -- 参数定义，声明输入参数id和输出参数name
    @id = @userId,
    @name = @userName OUTPUT

-- 输出查询结果
SELECT @userName AS 查询到的用户名

常见使用场景

• 动态条件查询：当查询的过滤条件不固定，比如前端传入的条件可能包含不同的字段，需要动态拼接 WHERE 子句时使用。
• 动态表名/列名查询：如果查询的表名或者返回的列名需要根据逻辑动态变化，普通静态 SQL 无法处理，就需要用 executesql 执行动态生成的语句。
• 批量执行相同逻辑：比如需要对多个结构相同的表执行相同的统计逻辑，通过动态拼接表名生成 SQL 后执行，减少重复代码。

注意事项

参数化避免 SQL 注入

使用 executesql 时，一定要通过参数传递值，不要直接把外部传入的内容拼接到 SQL 字符串中，否则会有 SQL 注入风险。下面的错误示例和正确示例对比：

-- 错误示例：直接拼接用户输入，有SQL注入风险
DECLARE @userInput NVARCHAR(50) = '1; DROP TABLE UserInfo;'
DECLARE @badSql NVARCHAR(1000) = N'SELECT * FROM UserInfo WHERE UserId = ' + @userInput
EXEC sp_executesql @badSql

-- 正确示例：使用参数传递，避免注入
DECLARE @userId INT = 1
DECLARE @goodSql NVARCHAR(1000) = N'SELECT * FROM UserInfo WHERE UserId = @id'
EXEC sp_executesql @goodSql, N'@id INT', @id = @userId

执行计划复用

executesql 执行的参数化 SQL 可以复用执行计划，相比每次拼接不同字符串的 exec 执行方式，能提升多次执行相同结构 SQL 的效率。但要注意如果动态 SQL 的结构变化过大，比如表名经常变化，执行计划可能无法有效复用。

数据类型匹配

参数定义中的数据类型要和传入的参数值类型匹配，否则可能出现隐式转换，影响查询效率甚至导致执行错误。比如定义参数是 INT 类型，就不要传入 NVARCHAR 类型的字符串，除非能确保转换正确。

和 exec 直接执行的区别

很多开发者会混淆 executesql 和直接用 exec 执行动态 SQL，两者的核心区别如下：

总的来说，只要是需要执行动态 SQL 的场景，优先使用 executesql 并采用参数化方式传递值，既能保证安全性，也能提升执行效率。

executesql存储过程动态SQLSQL Server参数化查询修改时间：2026-05-30 22:14:02