1.PreparedStatement是預(yù)編譯的,對(duì)于批量處理可以大大提高效率. 也叫JDBC存儲(chǔ)過(guò)程
2.使用 Statement 對(duì)象精刷。在對(duì)數(shù)據(jù)庫(kù)只執(zhí)行一次性存取的時(shí)侯，用 Statement 對(duì)象進(jìn)行處理蔗候。PreparedStatement 對(duì)象的開(kāi)銷比Statement大怒允，對(duì)于一次性操作并不會(huì)帶來(lái)額外的好處。
3.statement每次執(zhí)行sql語(yǔ)句锈遥，相關(guān)數(shù)據(jù)庫(kù)都要執(zhí)行sql語(yǔ)句的編譯勘畔，preparedstatement是預(yù)編譯得, preparedstatement支持批處理
4.Code Fragment 1:
String updateString = "UPDATE COFFEES SET SALES = 75 " + "WHERE COF_NAME LIKE ′Colombian′";stmt.executeUpdate(updateString);
Code Fragment 2:
PreparedStatement updateSales = con.prepareStatement("UPDATE COFFEES SET SALES = ? WHERE COF_NAME LIKE ? ");updateSales.setInt(1, 75);updateSales.setString(2, "Colombian");
updateSales.executeUpdate();
片斷2和片斷1的區(qū)別在于，后者使用了PreparedStatement對(duì)象丽惶，而前者是普通的Statement對(duì)象炫七。PreparedStatement對(duì)象不僅包含了SQL語(yǔ)句，而且大多數(shù)情況下這個(gè)語(yǔ)句已經(jīng)被預(yù)編譯過(guò)钾唬，因而當(dāng)其執(zhí)行時(shí)万哪，只需DBMS運(yùn)行SQL語(yǔ)句，而不必先編譯抡秆。當(dāng)你需要執(zhí)行Statement對(duì)象多次的時(shí)候壤圃，PreparedStatement對(duì)象將會(huì)大大降低運(yùn)行時(shí)間，當(dāng)然也加快了訪問(wèn)數(shù)據(jù)庫(kù)的速度琅轧。這種轉(zhuǎn)換也給你帶來(lái)很大的便利伍绳，不必重復(fù)SQL語(yǔ)句的句法，而只需更改其中變量的值乍桂，便可重新執(zhí)行SQL語(yǔ)句冲杀。
選擇PreparedStatement對(duì)象與否，在于相同句法的SQL語(yǔ)句是否執(zhí)行了多次睹酌，而且兩次之間的差別僅僅是變量的不同权谁。如果僅僅執(zhí)行了一次的話，它應(yīng)該和普通的對(duì)象毫無(wú)差異憋沿，體現(xiàn)不出它預(yù)編譯的優(yōu)越性旺芽。
5.執(zhí)行許多SQL語(yǔ)句的JDBC程序產(chǎn)生大量的Statement和PreparedStatement對(duì)象。通常認(rèn)為PreparedStatement對(duì)象比Statement對(duì)象更有效,特別是如果帶有不同參數(shù)的同一SQL語(yǔ)句被多次執(zhí)行的時(shí)候辐啄。PreparedStatement對(duì)象允許數(shù)據(jù)庫(kù)預(yù)編譯SQL語(yǔ)句采章，這樣在隨后的運(yùn)行中可以節(jié)省時(shí)間并增加代碼的可讀性。然而壶辜，在Oracle環(huán)境中悯舟，開(kāi)發(fā)人員實(shí)際上有更大的靈活性。當(dāng)使用Statement或PreparedStatement對(duì)象時(shí)砸民，Oracle數(shù)據(jù)庫(kù)會(huì)緩存SQL語(yǔ)句以便以后使用抵怎。
6.在一些情況下,由于驅(qū)動(dòng)器自身需要額外的處理和在Java應(yīng)用程序和Oracle服務(wù)器間增加的網(wǎng)絡(luò)活動(dòng)，執(zhí)行PreparedStatement對(duì)象實(shí)際上會(huì)花更長(zhǎng)的時(shí)間岭参。然而反惕，除了緩沖的問(wèn)題之外，至少還有一個(gè)更好的原因使我們?cè)谄髽I(yè)應(yīng)用程序中更喜歡使用PreparedStatement對(duì)象,那就是安全性演侯。傳遞給PreparedStatement對(duì)象的參數(shù)可以被強(qiáng)制進(jìn)行類型轉(zhuǎn)換姿染，使開(kāi)發(fā)人員可以確保在插入或查詢數(shù)據(jù)時(shí)與底層的數(shù)據(jù)庫(kù)格式匹配。當(dāng)處理公共Web站點(diǎn)上的用戶傳來(lái)的數(shù)據(jù)的時(shí)候蚌本，安全性的問(wèn)題就變得極為重要盔粹。傳遞給PreparedStatement的字符串參數(shù)會(huì)自動(dòng)被驅(qū)動(dòng)器忽略。最簡(jiǎn)單的情況下程癌，這就意味著當(dāng)你的程序試著將字符串“D'Angelo”插入到VARCHAR2中時(shí)舷嗡，該語(yǔ)句將不會(huì)識(shí)別第一個(gè)“，”嵌莉，從而導(dǎo)致悲慘的失敗进萄。幾乎很少有必要?jiǎng)?chuàng)建你自己的字符串忽略代碼。在Web環(huán)境中锐峭，有惡意的用戶會(huì)利用那些設(shè)計(jì)不完善的中鼠、不能正確處理字符串的應(yīng)用程序。特別是在公共Web站點(diǎn)上,在沒(méi)有首先通過(guò)PreparedStatement對(duì)象處理的情況下沿癞，所有的用戶輸入都不應(yīng)該傳遞給SQL語(yǔ)句援雇。此外，在用戶有機(jī)會(huì)修改SQL語(yǔ)句的地方椎扬，如HTML的隱藏區(qū)域或一個(gè)查詢字符串上惫搏，SQL語(yǔ)句都不應(yīng)該被顯示出來(lái)。在執(zhí)行SQL命令時(shí)蚕涤，我們有二種選擇：可以使用PreparedStatement對(duì)象筐赔，也可以使用Statement對(duì)象。無(wú)論多少次地使用同一個(gè)SQL命令揖铜，PreparedStatement都只對(duì)它解析和編譯一次茴丰。當(dāng)使用Statement對(duì)象時(shí)，每次執(zhí)行一個(gè)SQL命令時(shí)天吓，都會(huì)對(duì)它進(jìn)行解析和編譯贿肩。
第一：prepareStatement會(huì)先初始化SQL，先把這個(gè)SQL提交到數(shù)據(jù)庫(kù)中進(jìn)行預(yù)處理龄寞，多次使用可提高效率尸曼。 createStatement不會(huì)初始化，沒(méi)有預(yù)處理萄焦，沒(méi)次都是從0開(kāi)始執(zhí)行SQL
第二：prepareStatement可以替換變量 在SQL語(yǔ)句中可以包含?控轿，可以用ps=conn.prepareStatement("select * from Cust where ID=?");
int sid=1001; ps.setInt(1, sid); rs = ps.executeQuery(); 可以把?替換成變量。 而Statement只能用 int sid=1001; Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery("select * from Cust where ID="+sid); 來(lái)實(shí)現(xiàn)拂封。
第三：prepareStatement會(huì)先初始化SQL茬射，先把這個(gè)SQL提交到數(shù)據(jù)庫(kù)中進(jìn)行預(yù)處理，多次使用可提高效率冒签。 createStatement不會(huì)初始化在抛，沒(méi)有預(yù)處理，沒(méi)次都是從0開(kāi)始執(zhí)行SQL