sql中Statement与PreparedStatement的区别

package com.util;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;

/**
 * sql中Statement与PreparedStatement的区别
 * 1.Statement用于执行静态sql语句，在执行时，必须指定一个事先准备好的sql语句，也就是说sql语句是静态的。
   2.PrepareStatement是预编译的sql语句对象，sql语句被预编译并保存在对象中。
             被封装的sql语句代表某一类操作，语句中可以包含动态参数“?”，在执行时可以为“?”动态设置参数值。

   3.使用PrepareStatement对象执行sqll时，sql被数据库进行解析和编译，然后被放到命令缓冲区，每当执行同一个PrepareStatement对象时，它就会被解析一次，但不会被再次编译。
            在缓冲区可以发现预编译的命令，并且可以重用。所以PrepareStatement可以减少编译次数提高数据库性能。
   4.Statement可以被sql注入，而PrepareStatement不能被sql注入
 * @author yangjianzhou
 *
 */
public class TestJDBC {

	public static void main(String[] args) {

		Connection conn = null;
		Statement stmt = null;
		ResultSet rs = null;
		String str = "yangjianzhou";
		try{
			Class.forName("com.mysql.jdbc.Driver");
			conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncode=utf-8","root","admin");
			stmt = conn.createStatement();
			rs = stmt.executeQuery("SELECT * FROM students where name ='"+str+"'");
			while(rs.next()){
				System.out.println(rs.getString("name"));
				System.out.println(rs.getString("sex"));
			}

			PreparedStatement ps = conn.prepareStatement("SELECT * FROM students where name = ? ");
			ps.setString(1, "yangjianzhou");
			rs = ps.executeQuery();
			System.out.println(rs.next());

		}catch (Exception e) {
			e.printStackTrace();
		}finally{
			if(rs != null){
				try{
					rs.close();
				}catch (Exception e) {
					e.printStackTrace();
				}
			}
			if(stmt != null){
				try{
					stmt.close();
				}catch (Exception e) {
					e.printStackTrace();
				}
			}
			if(conn != null){
				try{
					conn.close();
				}catch (Exception e) {
					e.printStackTrace();
				}
			}
		}
	}
}

运行结果：

yangjianzhou
male
true