PrepareStatement与Statement对象的区别

以前一直不太清楚这俩货的区别，如今端正学习态度了，就把这东西搞搞明白。 数据库在执行SQL时有一个预编译的过程，预编译对象可以把传入的sql语句进行预编译后存入数据库缓冲池。以后再次执行该语句时不用再进行预编译的过程，节省了时间，避免了数据库资源的浪费，提高了效率。

我看一位大牛的博客上还有一点就是使用PrepareStatement对象时，可以对sql语句中传入的变量进行更直观的审查和操作，主要是为了便于查看吧。这个也挺重要的。这位大神还提到预编译的Statement可以防止SQL注入，这点我本人没操作过，不清楚其中的过程。不过我想防止SQL注入的话主要工作还是对传入的参数进行校验吧，以后有机会可以尝试一下。看到这儿，我查了查SQL注入的简单实例，推荐一位大神写的博客：SQL注入实例。说实话我没有看完，我也不是专业搞这个的，就简单地了解了一下。