- Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。
- PreparedStatement 接口是 Statement 的子接口
- PreparedStatement 能最大可能提高性能
- SQL 语句被预编译并存储在PreparedStatement 对象中,可以使用此对象多次高效地执行该语句。
- 在Statement语句,,每执行一次都要对传入的语句编译一次。
- PreparedStatement 可以防止 SQL 注入
扩展
SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’) ,从而利用系统的 SQL 引擎完成恶意行为的做法。