動的SQLを実行する代わりに

Question

私は現在、ビジネスオブジェクトに対応する「フィルタ」オブジェクトを持っています。このオブジェクトには、そのようなビジネスオブジェクトのリストをフィルタリング/検索できるさまざまな方法に関連するプロパティがあります。現在、これらのFilterオブジェクトにはwhere句の内容を作成し、SQL Server 2000のストアドプロシージャに渡され、残りのselectクエリとconcatendatedされるメソッドがあります。最後の文字列は、Execを使用して実行されます。

現在のところ、これはうまくいきますが、実行プランのキャッシュがないためにパフォーマンスの問題が心配している場合を除き、うまく動作します。いくつかの研究で私は呼び出しの使用を見たsp_executesql;これはより良い解決策ですか、私がやっていることに対してより良い慣習がありますか？

アップデート：私はsp_executesqlをを使用して、問題の一部は、私のフィルタでコレクションに基づいて、私はリストOR文を生成する必要があるということだと思います。私は、 'パラメータ化された'クエリが私の解決策であるとは確信していません。

例

var whereClause = new StringBuilder(); 
    if (Status.Count > 0) 
    { 
     whereClause.Append("("); 
     foreach (OrderStatus item in Status) 
     { 
      whereClause.AppendFormat("Orders.Status = {0} OR ", (int)item); 
     }   

     whereClause.Remove(whereClause.Length - 4, 3); 
     whereClause.Append(") AND "); 
    } 

Answer 1

近代RDBMS'es（実際に考慮するかどうかを言うことができないSQL Server 2000の1、「近代」）は、（もしad-hocクエリ用に最適化されているので、無視できる程度のパフォーマンスヒットがありますどれか）。 sprocを使用して動的SQLを構築しているということは、巨大なデバッグ/サポートPITAです。

Answer 2

sp_executesqlを使用する必要があります。言い換えれば、クエリプランが保存され、将来の実行が最適化されるからです。また、一般的に動的SQLを実行するよりも優れているようです。

Answer 3

計画再利用のためsp_executesqlはexecより優れており、SQLインジェクションに役立つパラメータを使用できます。これら二つの記事

Avoid Conversions In Execution Plans By Using sp_executesql Instead of Exec

Changing exec to sp_executesql doesn't provide any benefit if you are not using parameters correctly

Answer 4

を見て正しく

を使用した場合sp_executesqlをもプロシージャキャッシュの肥大化を引き起こすことはありませんはい、クエリのsp_executesqlを意志「キャッシュ」実行計画実行します。

また、ストアドプロシージャにクエリの一部を渡し、そこに完全なクエリを作成し、動的SQLを実行する代わりに、.NET側でクエリ全体を作成し、ADO.NETコマンドオブジェクトを使用して実行できます。 ADO.NETを介して実行されるすべてのクエリは、デフォルトで「キャッシュされる」ようになります。

Answer 5

sp_executesqlが最適です。これにストアドプロシージャを使用しない、または少なくともダイナミクスの一部を取り除くことを検討しましたか？どんな種類の注射でもずっと安全だと思います。あなたが話しているようにフィルタを作成しますが、ストアドプロシージャではなく、自分のコードで入力を処理しようとします。私は本当にダイナミックSQLが好きですが、時には余分なマイルに行く方が安全かもしれません。