以下是 PreparedStatement 和 Statement 的对比分析，从 功能、性能、安全性、适用场景 等维度详细说明：

---

1. 核心区别

特性	PreparedStatement	Statement
定义	预编译的 SQL 语句，支持参数化查询	执行静态 SQL 语句，不支持参数占位符
安全性	防止 SQL 注入（参数化查询）	易受 SQL 注入攻击（直接拼接字符串）
性能	多次执行时性能更高（预编译 SQL）	多次执行性能较低（每次需重新解析 SQL）
动态参数支持	支持 ? 占位符，通过 setXxx() 方法设置参数	不支持参数占位符，需手动拼接字符串
适用场景	动态参数查询、多次执行的 SQL	静态 SQL 或简单查询

---

2. 详细对比

(1) 安全性

• PreparedStatement：

  • 使用参数化查询（? 占位符），将 SQL 语句和参数分开传递，防止 SQL 注入攻击。
  • 示例：

    String sql = "SELECT * FROM users WHERE name = ?";
    PreparedStatement pstmt = connection.prepareStatement(sql);
    pstmt.setString(1, userInput); // 参数化输入
    

• Statement：

  • 直接拼接 SQL 字符串，若输入来自用户，易受 SQL 注入攻击。
  • 示例：

    String sql = "SELECT * FROM users WHERE name = '" + userInput + "'";
    Statement stmt = connection.createStatement();
    ResultSet rs = stmt.executeQuery(sql); // 存在安全风险
    

---

(2) 性能

• PreparedStatement：

  • 预编译机制：SQL 语句在首次执行时被数据库预编译，后续重复执行时直接使用编译后的计划，提升执行效率。
  • 适合批量操作或频繁执行的 SQL。

• Statement：

  • 每次执行 SQL 都需重新解析和编译，重复执行时性能较差。

---

(3) 语法差异

功能	PreparedStatement	Statement
动态参数	使用 ? 占位符，通过 setXxx() 方法赋值	需手动拼接字符串
执行方式	executeUpdate() 或 executeQuery()	executeUpdate() 或 executeQuery()
资源管理	推荐使用 try-with-resources 自动关闭	需手动关闭或通过 try-with-resources

---

(4) 适用场景

PreparedStatement 的典型场景

• 动态参数查询：

  String sql = "INSERT INTO users (name, email) VALUES (?, ?)";
  PreparedStatement pstmt = connection.prepareStatement(sql);
  pstmt.setString(1, name);
  pstmt.setString(2, email);
  

• 防止 SQL 注入：
  处理用户输入时，必须使用 PreparedStatement。

• 批量操作：

  pstmt.addBatch();
  pstmt.executeBatch(); // 批量插入/更新
  

Statement 的典型场景

• 静态 SQL 查询：

  String sql = "SELECT * FROM departments";
  ResultSet rs = connection.createStatement().executeQuery(sql);
  

• 复杂动态 SQL（不涉及用户输入）：

  String dynamicSql = "SELECT * FROM orders WHERE status = 'completed'";
  Statement stmt = connection.createStatement();
  

---

3. 代码示例对比

PreparedStatement 示例

// 插入数据（安全且高效）
String sql = "INSERT INTO users (name, email) VALUES (?, ?)";
try (PreparedStatement pstmt = connection.prepareStatement(sql)) {
    pstmt.setString(1, "Alice");
    pstmt.setString(2, "alice@example.com");
    pstmt.executeUpdate();
}

Statement 示例

// 插入数据（不安全且低效）
String name = "Alice";
String email = "alice@example.com";
String sql = "INSERT INTO users (name, email) VALUES ('" + name + "', '" + email + "')";
try (Statement stmt = connection.createStatement()) {
    stmt.executeUpdate(sql); // 存在 SQL 注入风险
}

---

4. 总结

选择 PreparedStatement 的情况	选择 Statement 的情况
动态参数查询	静态 SQL 或无用户输入的简单查询
需要防止 SQL 注入	需要快速编写简单查询
频繁执行的 SQL	不需要参数化且无需性能优化时

---

关键建议

1. 始终优先使用 PreparedStatement：

   • 即使 SQL 是静态的，参数化查询也能提升代码可读性和安全性。
   • 示例：

     PreparedStatement pstmt = connection.prepareStatement("SELECT * FROM users WHERE id = ?");
     pstmt.setInt(1, 1); // 即使参数是固定值，也推荐此方式
     

2. 避免直接拼接 SQL 字符串：

   • 手动拼接字符串容易引入安全漏洞和逻辑错误。

通过合理选择和使用这两个类，可以显著提升代码的安全性和性能！