Statement和PreparedStatement

Statement与PreparedStatement的关系和区别：

关系：PreparedStatement继承自Statement，都是接口。

区别：PreparedStatement可以使用占位符，是预编译的，批处理比Statement效率高   。

　　　创建Statement是不需要传参的，而创建PreparedStatement是需要传入sql语句作为参数的。（原因：因为PreparedStatement是预编译的，所以在创建PreparedStatement的时候，将sql语句传入PreparedStatement的构造方法，而这个带有参数的构造方法内部，就是处理预编译的代码，作为预编译。而Statement是没有预编译的，只能在执行的时候，具体传入sql语句。）

---

在JDBC应用中，如果你已经是一个稍有水平的开发者，就应该学会熟练使用以PreparedStatement代替Statement，也就是说，在任何时候都尽量滴不要去使用Statement。

PreparedStatement 接口继承 Statement，PreparedStatement 实例包含已编译的 SQL 语句， 所以其执行速度要快于 Statement 对象。

Statement为一条Sql语句生成执行计划， 如果要执行两条sql语句

select colume from table where colume=1;select colume from table where colume=2;

会生成两个执行计划 一千个查询就生成一千个执行计划！

PreparedStatement用于使用绑定变量重用执行计划 select colume from table where colume=:x;

通过set不同数据只需要生成一次执行计划，可以重用。

PreparedStatement的使用：

 String sql = "select distinct loan_type from loan where bank=?";
 PreparedStatement preStatement = conn.prepareStatement(sql);
 preStatement.setString(1, "Citibank");
 ResultSet result = preStatement.executeQuery();

Statement的使用：

 String sql = "select * from users where username='" + username + "' AND " + "password='" + password + "'";
 statement = connection.createStatement();
 resultSet = statement.executeQuery(sql);

---

使用PreparedStatement的好处：

1.提高可读性和可维护行

2.最大程度的提高性能。PreparedStatement的第一次执行消耗是很高的，它的性能体现在后面的重复执行（缓存的作用），例如假设对表中的某一个或某几条数据进行针对查询，JDBC驱动会发送一个网络请求到数据解析和优化这个查询，而执行时会产生另一个网络请求。

3.防止SQL注入（PS：SQL注入产生的原因很简单，就是访问的用户通过前端对网站可以输入参数的地方进行提交参数，参数里注入了一些恶意参数传入到服务器后端中，服务器后端没有对其进行详细的安全过滤，导致传入的参数直接传到数据库中，执行了数据库的SQL语句，SQL语句是可以查询网站的管理员账号、密码、以及一些其他信息等等的敏感数据，这就是SQL的注入式攻击。

好久没贴图了，给大伙来一个