Casos avançados

sp_executesql e SQL dinâmico: equivalente no PostgreSQL

EXEC e sp_executesql no SQL Server viram EXECUTE format() ou PL/pgSQL com quote_literal no PostgreSQL.

sp_executesql permite parâmetros tipados em SQL dinâmico. No PostgreSQL, use EXECUTE ... USING em PL/pgSQL ou format() com %I para identificadores e %L para literais.

Padrão seguro no PostgreSQL

Nunca concatene nomes de tabela diretamente — use %I do format ou quote_ident.

EXECUTE format('SELECT * FROM %I', tabela_nome);

Analisador de Impacto

SQL dinâmico é vetor de SQL injection se mal convertido. Revise cada EXEC no mapa de risco do projeto.

Abrir Análise de Projeto →