EXEC 与 SP_EXECUTESQL 性能

由于安全性和一致性，这主要是一种偏好，与性能无关（尽管这在 SQL Server 的旧版本中可能更受关注）。

当你有参数时，为什么要使用EXEC()一些你应该使用的时间？强制您将所有变量连接到一个字符串中，这使得滥用变得成熟。sp_executesqlEXEC()

我在这里更详细地写了这个：

• 要改掉的坏习惯：使用 EXEC() 代替 sp_executesql

我还在这里写了关于保护自己免受 SQL 注入的文章：

• 在 SQL Server 中保护自己免受 SQL 注入 - 第 1 部分
• 在 SQL Server 中保护自己免受 SQL 注入 - 第 2 部分

SQL 注入是一件大事，很多其他人也写过关于它的文章。

最后，请确保在调用系统过程时使用正确的大小写来匹配存储的内容sys.all_objects- 它应该全部小写。否则，如果您的代码被部署到区分大小写的实例上，它将全部开始失败。

首先让我们检查一下这两个命令的含义：
sp_executesql：执行一个可以多次重复使用的 Transact-SQL 语句或批处理，或者一个已经动态构建的语句。Transact-SQL 语句或批处理可以包含嵌入式参数。
exec：在 Transact-SQL 批处理或以下模块之一中执行命令字符串或字符串：系统存储过程、用户定义存储过程、CLR（公共语言运行时）存储过程、标量值用户定义函数，或扩展存储过程。EXECUTE 语句可用于将传递命令发送到链接服务器。

一些主要的尊重：

1. sp_executesql允许对语句进行参数化，因此在SQL注入方面比EXEC更安全
2. sp_executesql可以利用缓存的查询计划，TSQL 字符串只构建一次，之后每次调用相同的查询时sp_executesql，SQL Server 从缓存中检索查询计划并重用它。
3. 在 EXEC 中创建的临时表不能使用临时表缓存机制。

参考资料：
https ://blogs.msdn.microsoft.com/turgays/2013/09/17/exec-vs-sp_executesql/
https://msdn.microsoft.com/en-us/library/ms188001.aspx
https:// /msdn.microsoft.com/en-us/library/ms188332.aspx

编辑：
我发现以下关于性能的文章：
性能是这两种存储过程方法之间的争论问题。顾名思义，sp_execute它本身就是一个存储过程，它存储在系统数据库中。SP_ExecuteSQL因此，必须要求将 SQL 字符串传递给它，除非显示更高的缓存机会，从而导致在第二次或更晚运行时性能更好。

换句话说，它的参数化动态 T-SQL 鼓励它的重用。此外， sp_execute 在执行动态查询时应该有更高的机会避免不必要的编译exec()。但一些专家认为这具有误导性，因为他们认为这两种方法都会缓存计划。事实上，对于非参数化查询，SP_ExecuteSQL表现出与后者相同的特征。

http://www.technovisitors.com/2014/07/SPExecuteSQL-Vs-Execute-SQL-Server.html

EXEC 使用 ad hoc 缓存并可能导致 ad hoc 计划膨胀，而 sp_executesql 不会，这取决于您的计划有多稳定。