转自“脚本之家”！！JDBC之PreparedStatement类中预编译的综合应用解析

JDK 文档：SQL 语句被预编译并存储在 PreparedStatement 对象中（PreparedStatement是存储在JDBC里的，初始化后，缓存到了JDBC里），然后可以使用此对象多次高效地执行该语句。

预编译的优点
1、PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程。

2、使用 Statement 对象。在对数据库只执行一次性存取的时侯，用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大，对于一次性操作并不会带来额外的好处。

3、statement每次执行sql语句，采取直接编译 SQL 语句的方式，相关数据库都要执行sql语句的编译；preparedstatement是预编译得,    PreparedStatement 则先将 SQL 语句预编译一遍，再填充参数，preparedstatement支持批处理。

4、PreparedStatement对象不仅包含了SQL语句，而且大多数情况下这个语句已经被预编译过，因而当其执行时，只需DBMS运行SQL语句，而不必先编译。当你需要执行Statement对象多次的时候，PreparedStatement对象将会大大降低运行时间，当然也加快了访问数据库的速度。这种转换也带来很大的便利，不必重复SQL语句的句法，而只需更改其中变量的值，便可重新执行SQL语句。选择PreparedStatement对象与否，在于相同句法的SQL语句是否执行了多次，而且两次之间的差别仅仅是变量的不同。如果仅仅执行了一次的话，它应该和普通的对象毫无差异，体现不出它预编译的优越性。

5、PreparedStatement对象比Statement对象更有效,特别是如果带有不同参数的同一SQL语句被多次执行的时候。PreparedStatement对象允许数据库预编译SQL语句，这样在随后的运行中可以节省时间并增加代码的可读性。

6.Statement 由于可能需要采取字符串与变量的拼接，很容易进行 SQL 注入攻击，而 PreparedStatement 由于是预编译，再填充参数的，不存在 SQL 注入问题。