不要混淆:只要记住

Statement is used for static queries like DDLs i.e. create,drop,alter and prepareStatement is used for dynamic queries i.e. DML query. In Statement, the query is not precompiled while in prepareStatement query is precompiled, because of this prepareStatement is time efficient. prepareStatement takes argument at the time of creation while Statement does not take arguments. For Example if you want to create table and insert element then :: Create table (static) by using Statement and Insert element (dynamic)by using prepareStatement.

语句接口执行不带参数的静态SQL语句

PreparedStatement接口(扩展Statement)执行预编译的带/不带参数的SQL语句

对于重复执行有效 它是预编译的，所以更快

这样更容易阅读 您可以轻松地将查询字符串设置为常量

准备语句忽略SQL注入，提高了准备语句的安全性

PreparedStatement相对于Statement的一些好处是:

PreparedStatement helps us in preventing SQL injection attacks because it automatically escapes the special characters. PreparedStatement allows us to execute dynamic queries with parameter inputs. PreparedStatement provides different types of setter methods to set the input parameters for the query. PreparedStatement is faster than Statement. It becomes more visible when we reuse the PreparedStatement or use it’s batch processing methods for executing multiple queries. PreparedStatement helps us in writing object Oriented code with setter methods whereas with Statement we have to use String Concatenation to create the query. If there are multiple parameters to set, writing Query using String concatenation looks very ugly and error prone.

阅读更多关于SQL注入问题，请访问http://www.journaldev.com/2489/jdbc-statement-vs-preparedstatement-sql-injection-example

准备查询或参数化查询的另一个特征:引用自本文。

该语句是数据库系统重复执行同一条SQL语句的高效特性之一。准备好的语句是模板的一种，由应用程序使用不同的参数。

语句模板准备好后发送给数据库系统，数据库系统对该模板进行解析、编译和优化，不执行即可存储。

有些参数，比如在以后的应用程序创建模板时没有传递子句，将这些参数发送给数据库系统，数据库系统使用SQL语句模板并按请求执行。

预处理语句对于SQL注入非常有用，因为应用程序可以使用不同的技术和协议来准备参数。

当数据数量不断增加，索引频繁变化时，Prepared statement可能会失败，因为在这种情况下需要一个新的查询计划。