关于PreparedStatement和Statement具体区别

关于PreparedStatement和Statement具体区别

1：
我们先从这两个单词进行初步的讲解，Prepared（准备好的, 精制的），从这里可以知道PreparedStatement是预先编译的语句，而Statement则不是预先编译的，在DBMS中处理管理中Statement是要进行语法、语义的，而PreparedStatement则不要。

2：
PrepareStatement中执行的SQL语句中是可以带参数的，而Statement则不可以。
比如：
PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES
SET SALARY = ? WHERE ID = ?");
pstmt.setBigDecimal(1, 153833.00);
pstmt.setInt(2, 110592);
pstmt. executeUpdate();

3：
当处理批量SQL语句时，这个时候就可以体现PrepareStatement的优势，由于采用Cache机制，则预先编译的语句，就会放在Cache中，下次执行相同SQL语句时，则可以直接从Cache中取出来。



关于PreparedStatement 预编译的语句具体是放在哪儿？为什么能提升性能？

先看看oracle的sql执行细节：

oracle 执行sql时，首先要分析sql生成查询计划，具体有：分析sql的合法性（到数据库schema中查询），决定使用某个的哪段索引（好像是这样说的）... ...，然后在第一次查询时，用物理读，其后相同的查询计划都是逻辑读，是到缓存里面读。
PreparedStatement是不是有利于oracle生成查询计划，或许还有别的帮助，所以提高了性能。
但有一点是肯定的，PreparedStatement一定需要driver具体实现才行，Prepared是缓存在数据库端的。

所以说，PreparedStatement预编译的sql语句是放在数据库端的缓存里面，而放到缓存，有利于sql生成查询计划。

4：线程安全

当处理公共Web站点上的用户传来的数据的时候，安全性的问题就变得极为重要。传递给PreparedStatement的字符串参数会自动被驱动器忽略。最简单的情况下，这就意味着当你的程序试着将字符串“D'Angelo”插入到VARCHAR2中时，该语句将不会识别第一个“，”，从而导致悲惨的失败。几乎很少有必要创建你自己的字符串忽略代码。

在Web环境中，有恶意的用户会利用那些设计不完善的、不能正确处理字符串的应用程序。特别是在公共Web站点上,在没有首先通过PreparedStatement对象处理的情况下，所有的用户输入都不应该传递给SQL语句。此外，在用户有机会修改SQL语句的地方，如HTML的隐藏区域或一个查询字符串上，SQL语句都不应该被显示出来。