这个描叙得不错
http://www.blogjava.net/fadesea/archive/2006/03/07/33965.aspx
http://hi.baidu.com/suofang/blog/item/3e0124389b0fb23ab8998f03.html
PrepareStatement与Statement的主要区别:
1:创建时的区别:
Statement stm=con.createStatement();
PreparedStatement pstm=con.prepareStatement(sql);
执行的时候:
stm.execute(sql);
pstm.execute();
2: pstm一旦绑定了SQL,此pstm就不能执行其他的Sql,即只能执行一条SQL命令。
stm可以执行多条SQL命令。
3: 对于执行同构的sql(只有值不同,其他结构都相同),用pstm的执行效率比较的高,对于异构的SQL语句,Statement的执行效率要高。
4:当需要外部变量的时候,pstm的执行效率更高.
5. PreparedStatement 是变量强制类型赋值,可以有效防止SQL注入攻击