ORACLE 中NDS(原生动态SQL)的几个注意点

对于共享程序使用调用者权限

当a用户的 shema下创建了一个程序,并赋予了这些程序的execute权限为public

当b用户登录到自己的所属shema 使执行如下命令:

sql> a.exec_ddl('create table table_a(id number)');

那么则会在a 用户下创建一个table_a的表,这其实不是我们想要的,我们想要在b用户下建立表,那么需要使用调用者权限模型,在存储过程exec_ddl中声明下

procedure exec_ddl(ddlstring in varchar2)
    AUTHID CURRENT_USER
IS
BEGIN
    EXECUTE IMMEDIATE ddl_string;
END;

动态sql中的异常处理

一个比较好的开发习惯是执行动态sql的时候加入异常处理和跟踪机制

procedure exec_ddl(ddlstring in varchar2) 
	AUTHID CURRENT_USER 
IS
BEGIN
  EXECUTE IMMEDIATE ddl_string;
  
EXCEPTION 
	WHEN OTHERS THEN 
		dbms_output.pub_line('Dynamic SQL Failure : ' || DMBS_UTILITY.FORMAT_ERROR_STACK);
		dbms_output.pub_line('on statement  :" ' || ddl_string '"');  
END;

多使用变量绑定而非字符串拼接

好处如下:

  1. 绑定变量性能更高,这样能够利用缓存在SGA中的预解析游标
  2. 避免隐式转换和易于维护,一串数字如果当成字符的话需要加to_char,而变量绑定这避免了这个麻烦
  3. 安全性高,避免代码注入
  4. 代码简洁易懂易于维护

你可能感兴趣的:(PL/SQL)