Statement和PreparedStatement的区别

1).PreparedStatement 代码的可读性和可维护性. (SQL模板,使用占位符表示参数)

String sql = "select * from t_student where name = ? ";
		//连接数据库
		Connection conn = DBUtils.getConnection();
		//创建语句对象
		PreparedStatement ps = conn.prepareStatement(sql);
		//为第一个占位符(?)设置值
		ps.setString(1, "小花");
		
		ResultSet result = ps.executeQuery();
		if(!result.next()){
			throw new RuntimeException("账号或密码错误");
		}
		System.out.println("登录成功");
		
	}

2).PreparedStatement 能最大可能提高性能. MySQL不支持.

当应用程序从数据库中存取数据时，需要传入sql语句，这时候数据库需要对sql语句做一系列的操作才能返回结果，这个过程也挺复杂的：

01.检查缓存中是否存在sql

02.检查sql的完整性

03.检查sql的安全性

04.编译sql语句

05.返回结果

若是从数据库中查询数据，使用Statement，查询不同id的数据，在缓存中就是不同的sql语句，若是查询大量的数据，这种方式就会很慢，若是使用PreparedStatement ，即使是查询不同id的数据，在缓存中也只存在一条sql语句，大大提高了查询效率。

 

3).PreparedStatement 能保证安全性.可以防止SQL注入:

Statement语句对象若是执行String sql = "select * from t_student where name = admin and password ='' or 1=1 or ''"; SQL语句，它会将or 1=1 or ''看成一个or条件,而 1=1 条件是恒为true的，也就是说，不管前面的条件如何，整体条件都为true，因此如果用Statement语句类去写登录条件，只要有人在账号或密码那里填 or 1=1 ，都能进入系统。

PreparedStatement 的话就不一样，它会将整个 or 1=1 or '' 看成password的值，你输入的密码跟实际密码不符合，就不能进入系统。