概念

MSSQL为我们提供了两种动态执行SQL语句的命令，分别是EXEC和sp_executesql;通常,sp_executesql则更具有优势，它提供了输入输出接口，而EXEC没有。还有一个最大的好处就是利用sp_executesql，能够重新执行计划，这就大大提供了执行性能(对于这个我在后面的例子中会详加说明)，还可以编写更安全的代码。EXEC在某些情况下会更灵活。除非您有令人信服的理由使用EXEC，否则尽量使用sp_executesql。

区别

sp_executesql为系统提供存储过程，可将参数写在sql语句中，而exec需要使用拼接的方式，这在一定程度上可以防止SQL注入，因此sp_executesql拥有更高的安全性。另外需要注意的是，存储sql语句的变量必须声明为nvarchar类型的。

下面我们来用两个实例来体现他们的区别：

--创建表
CREATE TABLE userinfo
(
userid INT IDENTITY(1,1) PRIMARY KEY, --用户ID
username NVARCHAR(50) NOT NULL --用户姓名
)
GO

--插入测试数据
INSERT INTO userinfo(username) VALUES('张三')
INSERT INTO userinfo(username) VALUES('李四')
INSERT INTO userinfo(username) VALUES('王五')

下面通过分别通过exec和sp_executesql方法来实现动态加载sql脚本，来看看他们区别

exec方法

--查询标号为2的用户信息
DECLARE @strSql NVARCHAR(MAX)
DECLARE @userID NVARCHAR(10)
SET @userID='2'
SET @strSql=N'select * from userinfo where userid='''+@userID+''''
EXEC(@strSql)

sp_executesql方法

--查询标号为2的用户信息
DECLARE @strSql NVARCHAR(MAX)
DECLARE @userID NVARCHAR(10)
SET @userID='2'
SET @strSql='select * from userinfo where userid=@userID'
EXEC sys.sp_executesql @strSql,N'@userID NVARCHAR(10)',@userID

通过上面两段代码我们容易发现，使用exec方法查询带参数语句需要对参数进行字符串拼接，而sp_executesql方法可以支持参数的输入和输出。个人建议没有特殊的情况，尽量用系统自带的sp_executesql方法来动态加载sql脚本。