SQLSERVER：動態SQL

--SqlServer動態Sql
--動態SQL是指在運行時構造並執行的sql語句。這種技術在sqlserver中非常有用，尤其
--是在需要編寫靈活且可適應不同情況的代碼時。動態sql可以用來創建通用的存儲過程，
--執行復雜的查詢或者在運行時根據特定條件構建SQL語句。

--優勢與風險：
--動態SQL的主要優勢在於其靈活性，它允許開發者編寫能夠適應不同輸入和條件的代碼。
--然而，使用動態SQL也有風險，最主要的風險是SQL注入攻擊，這是由於動態構造的SQL語句
--可能會無意中插入惡意的SQL代碼

--安全實踐
--爲了安全地使用動態SQL,應始終：
--* 使用參數化查詢，避免SQL注入
--對輸入進行驗證。
--最小化使用動態SQL,只在必要時使用。

--示例腳本

-- 創建Employees表
CREATE TABLE Employees (
EmployeeID INT IDENTITY(1,1) PRIMARY KEY,
FirstName VARCHAR(50),
LastName VARCHAR(50),
Position VARCHAR(50),
DepartmentID INT
);

-- 插入Employees表數據
INSERT INTO Employees (FirstName, LastName, Position, DepartmentID)
VALUES ('Jane', 'Doe', 'Manager', 1),
('John', 'Smith', 'Developer', 2),
('Alice', 'Johnson', 'Developer', 2);

INSERT INTO Employees (FirstName, LastName, Position, DepartmentID)
VALUES ('Jane1', 'Doe1', 'Manager', 1),
('John1', 'Smith1', 'Developer', 2),
('Alice1', 'Johnson1', 'Developer', 2),
('Jane2', 'Doe2', 'Manager', 1),
('John2', 'Smith2', 'Developer', 2),
('Alice2', 'Johnson2', 'Developer', 2),
('Jane3', 'Doe3', 'Manager', 1),
('John3', 'Smith3', 'Developer', 2),
('Alice3', 'Johnson3', 'Developer', 2),
('Jane4', 'Doe4', 'Manager', 1),
('John4', 'Smith4', 'Developer', 2),
('Alice4', 'Johnson4', 'Developer', 2);

--示例1：基本的動態SQL執行
DECLARE @TableName NVARCHAR(128) ='Employees';
DECLARE @SQL NVARCHAR(MAX);

SET @SQL='SELECT * FROM '+ QUOTENAME(@TableName);
Exec sp_executesql @SQL;

--示例2：使用參數的動態SQL

DECLARE @EmployeeID INT =1;
DECLARE @SQL1 NVARCHAR(MAX);

SET @SQL1 =N'SELECT * FROM Employees WHERE EmployeeID =@EmpID';
EXEC sp_executesql @SQL1,N'@EmpID INT',@EmpID=@EmployeeID;

--示例3：動態排序和分頁

DECLARE @SortColumn NVARCHAR(128) ='FirstName';
DECLARE @SortOrder NVARCHAR(4) ='ASC';
DECLARE @PageSize INT =10;
DECLARE @PageNumber INT =1;
DECLARE @SQL2 NVARCHAR(MAX);

SET @SQL2 = 'SELECT * FROM (
SELECT ROW_NUMBER() OVER (ORDER BY '+ QUOTENAME(@SortColumn)+' ' +@SortOrder + ') AS RowNum,
* FROM Employees
) AS MyDerivedTable
WHERE MyDerivedTable.RowNum BETWEEN '+ CAST((@PageNumber -1)* @PageSize +1 AS NVARCHAR)+
' AND ' + CAST(@PageNumber * @PageSize AS NVARCHAR);
EXEC sp_executesql @SQL2;

--示例4：動態創建和執行存儲過程
DECLARE @ProcedureName NVARCHAR(128) ='usp_GetEmployeeDetails';
DECLARE @SQL3 NVARCHAR(MAX);

SET @SQL3 = N'CREATE PROCEDURE ' +QUOTENAME(@ProcedureName) +'
@EmployeeID INT
AS
BEGIN
SELECT * FROM Employees WHERE EmployeeID=@EmployeeID;
END';
EXEC(@SQL3);

--現在可以執行新創建的存儲過程
EXEC usp_GetEmployeeDetails @EmployeeID=1;

--總結：動態SQL是SQL Server中一個強大的工具，它可以提高代碼的靈活性和適應性。然而，
--使用動態sql需要謹慎，以避免潛在的安全風險，如SQL注入。通過使用參數化查詢和對輸入進行
--驗證，可以確保使用動態SQL的安全性。以上示例提供了一些基本的動態SQL使用方法，但在實際應用中
--可能要根據特定的業務邏輯和需求進行調整。