Statement和PrepareStatement的区别

起首来看看它们之间的接洽，两者都是接口，都是由Connection接口创建取得的，而PreparedStatement呢，它是Statement的子接口，是承继于Statement接口而取得的。

再来看一看它们之间的区别

那么PreparedStatement和Statement比拟呢，有以下几点利益。

1.从代码的可读性和可维护性来说

PreparedStatement在实行sql语句时可以包含动态参数占位符“?”，在实行时可以为占位符“?”动态设置参数值，而Statement不支持占位符“?”交换变量，只能在sql中拼接参数。

以是在代码的可读性以及可维护性上，PreparedStatement接口大大提高了代码的可读性和可维护性。

2.PreparedStatement会尽最大约莫提高功能

我们晓得sql语句的在数据库中实行都是必要DBMS编译的，而PreparedStatement会预编译sql语句，因此当多次实行时，只需DBMS运转sql语句，而不必再编译。而Statement没有预处理，每次都要重新编译，以是当多次实行这条sql语句时，PreparedStatement听从会大大的提高。

3.最紧张的一点是PreparedStatement可以避免sql注入，极大地提高了宁静性

PreparedStatement可避免sql注入。sql注入情况如下所示：

假如有一条登录的sql语句:

"select * from user where name = 'zhangsan' and password = 123456";

Statement的sql语句是如此写的:

"select * from user where name = '" + username + "' and password ='" + password + "'";

如此我们就发觉输入用户名：'or'1=1'#，暗码随意输入时，

Statement是将这个和sql语句做字符勾通接到一同实行，变成了select * from user where `username` = ''or' 1=1'# and `password` =123456，而#这个字符后方的在MySQL数据库中会把它当做正文，以是sql就变成了select * from user where `username` = ''or'1=1'，如此的sql语句实行会招致永久都可以登录告捷。而PreparedStatement是将'or'1=1'# 作为一个字符串赋值给占位符“?”赋值，作为"用户名"字段的对应值,显然如此SQL注入就可以制止了。