带参数的动态 SQL

为了避免注入和转义问题，应该使用参数执行动态 SQL 查询，例如：

SET @sql = N'SELECT COUNT(*) FROM AppUsers WHERE Username = @user AND Password = @pass
EXEC sp_executesql @sql, '@user nvarchar(50), @pass nvarchar(50)', @username, @password

第二个参数是查询中使用的参数列表及其类型，在此列表之后提供将用作参数值的变量。

sp_executesql 将转义特殊字符并执行 sql 查询。