Statement和PreparedStatement的区别

Statement:
执行不带参数的简单SQL语句,并返回它所生成结果的对象,每次执行SQL语句时,数据库都要编译该sql语句。 Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。
接口：public interface Statement extends Wrapper
在默认情况下，同一时间每个 Statement 对象只能打开一个 ResultSet 对象。因此，如果读取一个 ResultSet 对象与另一个交叉，则这两个对象必须是由不同的 Statement 对象生成的。如果存在某个语句的打开的当前 ResultSet 对象，则 Statement 接口中的所有执行方法都会隐式关闭它。
如以下操作：创建statement对象
Statement stat=conn.createStatement();
String sql=“insert into lover values(‘string1’，‘string2’,‘string3’…)”;
stat.execute(sql);//这里提交时应该有sql语句，不同于PreparedStatment

PreparedStatement:
用来执行带参数的预编译的SQL语句
PreparedStatement的优点:
效率高.
使用PreparedStatement执行SQL命令时,命令会被数据库编译和解析,并放到命令缓冲区.以后每当执行同一个PreparedStatement对象时,预编译的命令就可以重复使用
代码可读性和可维护性好
安全性好.
使用PreparedStatement可以防止SQL注入.
PreparedStatement可以使用占位符（就是先占住一个固定的位置，等着你再往里面添加内容的符号，广泛用于计算机中各类文档的编辑 例如String command=“insert into temp(name,url) values(?,?)”;），是预编译的，批处理比Statement效率高。表示预编译的 SQL 语句的对象。
接口：public interface PreparedStatement extends Statement之间的继承关系
SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。
注：用于设置 IN 参数值的设置方法（setShort、setString 等等）必须指定与输入参数的已定义 SQL 类型兼容的类型。例如，如果 IN 参数具有 SQL 类型 INTEGER，那么应该使用 setInt 方法，问号的位置也是应该注意的，因为第一个问好的位置为1，第二个问号的位置为2.以此类推。
如果需要任意参数类型转换，使用 setObject 方法时应该将目标 SQL 类型作为其参数。
在以下设置参数的示例中，con 表示一个活动连接：
PreparedStatement pstmt = con.prepareStatement(command);
pstmt.setBigDecimal(1, string1)
pstmt.setInt(2, string2)
pstmt.execute()//注意提交时这里不能再有sql语句,不同于Statment