JDBC中Statement与PreparedStatement的区别

?

1. statement每次执行sql语句，相关数据库都要执行sql语句的编译；preparedstatement是预编译的, 采用Cache机制（预编译语句，放在Cache中，下次执行相同SQL语句时，则可以直接从Cache中取出来，有利于sql生成查询计划。），对于批量处理可以大大提高效率. 也叫JDBC存储过程。

?

例如，如果要执行两条sql语句

?

SELECT colume FROM TABLE WHERE colume=1;
SELECT colume FROM TABLE WHERE colume=2;

?

会生成两个执行计划

?

一千个查询就生成一千个执行计划！

?

PreparedStatement用于使用绑定变量重用执行计划

?

SELECT colume FROM TABLE WHERE colume=:x;

?

通过set不同数据只需要生成一次执行计划，可以重用

?

是否使用绑定变量对系统影响非常大，生成执行计划极为消耗资源

?

两种实现 速度差距可能成百上千倍

?

后者使用了PreparedStatement对象，而前者是普通的Statement对象。PreparedStatement对象不仅包含了SQL语句，而且大多数情况下这个语句已经被预编译过，因而当其执行时，只需DBMS运行SQL语句，而不必先编译。当你需要执行Statement对象多次的时候，PreparedStatement对象将会大大降低运行时间，当然也加快了访问数据库的速度。

?

这种转换也给你带来很大的便利，不必重复SQL语句的句法，而只需更改其中变量的值，便可重新执行SQL语句。选择PreparedStatement对象与否，在于相同句法的SQL语句是否执行了多次，而且两次之间的差别仅仅是变量的不同。如果仅仅执行了一次的话，在对数据库只执行一次性存取的时侯，用 Statement 对象进行处理，PreparedStatement 对象的开销比Statement大，对于一次性操作并不会带来额外的好处。

?

2. PrepareStatement中执行的SQL语句中是可以带参数的，也就是说可以替换变量，尽量采用使用？号的方式传递参数，增加代码的可读性又可以预编译加速；而Statement则不可以。

?

3. 防止SQL注入