1. 区别:
Statement:
用于执行不带参数的简单SQL语句,返回生成结果的对象,每次执行SQL语句时,数据库都要编译该语句。
PreparedStatement:
表示预编译的SQL语句的对象,用于执行带参数的预编译SQL语句。
CallableStatement:
提供了用来调用数据库中存储过程的接口,如果有输出参数要注册,说明是输出参数。
2. PreparedStatement优点:
- 效率更高:使用PreparedStatement对象执行SQL语句时,命令会被数据库进行编译和解析,并放到命令缓冲区;
- 代码可读性和可维护性更好:
使用Statement:
Statement stmt = conn.getStatement();
stmt.executeUpdate("insert into tabel_name(col1,col2) values('" + var1 + "','" + var2 + "')");
使用PreparedStatement:
PreparedStatement prestmt = conn.preparedStatement("insert into tabel_name(col1,col2) values(?,?)");
- 安全性更好:
使用PreparedStatement能预防SQL注入(即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器,达到执行恶意SQL命令的目的)攻击,注入只对SQL语句的编译过程有破坏作用,而执行阶段只是把输入串作为数据处理,不再需要对SQL语句进行解析。