sqlserver中的exec和sp_executesql都能执行动态的sql语句和存储过程，但exec用法较为简单，不能带参数，也没有返回参数。

sp_executesql则显得功能更加完善，可以用输入参数和输出参数，下面这个例子记录了sp_executesql的用法。

declare @sql nvarchar(1000),@oazaName varchar(20),@cnt intset @oazaName = 'abc'set @sql = 'select @count=count(*) from dbo.Aza where oazaName like ''%'' +  @oazaName + ''%'''print @sql-- 注意like查询时用变量该如何拼接 '%' + -- 输出SQL语句：select @count=count(*) from dbo.Aza where oazaName like '%' +  @oazaName + '%'exec sp_executesql --这里定义sql文@stmt=@sql, --这里书写@sql中用到的变量，多个变量时，将全部定义放到@params变量里@params =N'@oazaName as varchar(20),@count as int output',--下面的赋值语句个数由@params定义的变量个数决定，--注意输出变量的定义和赋值语句处都要加output关键字@oazaName ='飯',@count =@cnt output-- 查看输出变量的值，感觉@cnt是传的地址（类似与C#的ref关键字）select @cnt

对于带参数的查询，可以防止sql注入等攻击，因此有必要好好掌握sp_executesql的用法。