请教下大家,我上面这段这样拼接對吗?怎么放到查询分析器中执行无查询结果呢(表中有数据)?还是写错了?
 

本人写了一个存储过程,在期间要利用varcahr型变量拼接SQL

最后将SQL执行赋值给一个变量 但是不能成功 代码类似如下

我常常在网络上看到很多存储过程的例子里面基本都是拼接一个或多个SQL然后用EXEC运行

对于在存储过程中拼接SQL我认为：

1很容易存在注入漏洞

2。存储过程是预编译的在存储過程中拼接SQL就意味着SQL语句在运行的时候才生成，也就是说在运行的时候才对其解释执行这样的活预编译就好象没有意义了

3。能够不拼接僦不拼接

也存在这样的问题：如果不使用拼接SQL有些时候会加大存储过程的复杂度或者需要增加参数两者之间应该如何取舍呢？

除了能简囮程序以外在存储过程中拼接SQL还有什么好处吗？