一.PreparedStatement是預(yù)編譯的,對于批量處理可以大大提高效率. 也叫JDBC存儲過程

二.使用 Statement 對象。在對數(shù)據(jù)庫只執(zhí)行一次性存取的時侯禽车，用 Statement 對象進(jìn)行處理姑宽。PreparedStatement 對象的開銷比Statement大遣耍，對于一次性操作并不會帶來額外的好處。

三.statement每次執(zhí)行sql語句炮车，相關(guān)數(shù)據(jù)庫都要執(zhí)行sql語句的編譯舵变，preparedstatement是預(yù)編譯得, preparedstatement支持批處理

四.代碼片段1:

String updateString = "UPDATE COFFEES SET SALES = 75 " + "WHERE COF_NAME LIKE ′Colombian′";

stmt.executeUpdate(updateString);

代碼片段2:

PreparedStatement updateSales = con.prepareStatement("UPDATE COFFEES SET SALES = ? WHERE COF_NAME LIKE ? ");

updateSales.setInt(1, 75);

updateSales.setString(2, "Colombian");

updateSales.executeUpdate();

片斷2和片斷1的區(qū)別在于，后者使用了PreparedStatement對象瘦穆，而前者是普通的Statement對象纪隙。PreparedStatement對象不僅包含了SQL語句，而且大多數(shù)情況下這個語句已經(jīng)被預(yù)編譯過扛或，因而當(dāng)其執(zhí)行時绵咱，只需DBMS運行SQL語句，而不必先編譯熙兔。當(dāng)你需要執(zhí)行Statement對象多次的時候悲伶，PreparedStatement對象將會大大降低運行時間艾恼，當(dāng)然也加快了訪問數(shù)據(jù)庫的速度。

這種轉(zhuǎn)換也給你帶來很大的便利麸锉，不必重復(fù)SQL語句的句法钠绍，而只需更改其中變量的值，便可重新執(zhí)行SQL語句花沉。選擇PreparedStatement對象與否柳爽，在于相同句法的SQL語句是否執(zhí)行了多次，而且兩次之間的差別僅僅是變量的不同主穗。如果僅僅執(zhí)行了一次的話泻拦，它應(yīng)該和普通的對象毫無差異，體現(xiàn)不出它預(yù)編譯的優(yōu)越性忽媒。

五.執(zhí)行許多SQL語句的JDBC程序產(chǎn)生大量的Statement和PreparedStatement對象争拐。通常認(rèn)為PreparedStatement對象比Statement對象更有效,特別是如果帶有不同參數(shù)的同一SQL語句被多次執(zhí)行的時候。PreparedStatement對象允許數(shù)據(jù)庫預(yù)編譯SQL語句晦雨，這樣在隨后的運行中可以節(jié)省時間并增加代碼的可讀性架曹。

然而，在Oracle環(huán)境中闹瞧，開發(fā)人員實際上有更大的靈活性绑雄。當(dāng)使用Statement或PreparedStatement對象時，Oracle數(shù)據(jù)庫會緩存SQL語句以便以后使用奥邮。在一些情況下,由于驅(qū)動器自身需要額外的處理和在Java應(yīng)用程序和Oracle服務(wù)器間增加的網(wǎng)絡(luò)活動万牺，執(zhí)行PreparedStatement對象實際上會花更長的時間。

然而洽腺，除了緩沖的問題之外脚粟，至少還有一個更好的原因使我們在企業(yè)應(yīng)用程序中更喜歡使用PreparedStatement對象,那就是安全性。傳遞給PreparedStatement對象的參數(shù)可以被強(qiáng)制進(jìn)行類型轉(zhuǎn)換蘸朋，使開發(fā)人員可以確保在插入或查詢數(shù)據(jù)時與底層的數(shù)據(jù)庫格式匹配核无。

當(dāng)處理公共Web站點上的用戶傳來的數(shù)據(jù)的時候，安全性的問題就變得極為重要藕坯。傳遞給PreparedStatement的字符串參數(shù)會自動被驅(qū)動器忽略团南。最簡單的情況下，這就意味著當(dāng)你的程序試著將字符串“D'Angelo”插入到VARCHAR2中時炼彪，該語句將不會識別第一個“吐根，”，從而導(dǎo)致悲慘的失敗辐马。幾乎很少有必要創(chuàng)建你自己的字符串忽略代碼佑惠。

在Web環(huán)境中，有惡意的用戶會利用那些設(shè)計不完善的、不能正確處理字符串的應(yīng)用程序膜楷。特別是在公共Web站點上,在沒有首先通過PreparedStatement對象處理的情況下旭咽，所有的用戶輸入都不應(yīng)該傳遞給SQL語句。此外赌厅，在用戶有機(jī)會修改SQL語句的地方穷绵，如HTML的隱藏區(qū)域或一個查詢字符串上，SQL語句都不應(yīng)該被顯示出來特愿。