PreparedStatement和Statement都是用来执行SQL查询语句的API之一。
不同点:
在PreparedStatement中,当我们经常需要反复执行一条结构相似的sql语句,比如:
insert into table values(0,‘first’,1);
insert into table values(0,‘second’,2);
我们可以使用带占位符的sql来代替它:
insert into table values(0,?,?);
然后每次传入参数即可,但是Statement中是不允许使用占位符的,更没有带参数。而且更重要的是PreparedStatement会预编译sql语句,把预编译后的sql语句存在对象中,那么这样每次传入参数执行查询等操作会变得非常高效,也就是说PreparedStatement比Statement高效。PreparedStatement还提供了一系列的setXxx(int index, Xxx value)方法来传入参数。
PreparedStatement可以防止SQL注入式攻击: