Statement, PreparedStatement和CallableStatement的区别

Statement用于执行不带参数的简单SQL语句，并返回它所生成的结果，每次执行SQL豫剧时，数据库都要编译该SQL语句。

Satatement stmt = conn.getStatement();
stmt.executeUpdate("insert into client values("aa","aaa")");

PreparedStatement表示预编译的SQL语句的对象，用于执行带参数的预编译的SQL语句。

CallableStatement则提供了用来调用数据库中存储过程的接口，若是有输出参数要注册，说明是输出参数。

虽然Statement对象与PreparedStatement对象可以完成相同的功能，可是相比之下，PreparedStatement具备如下优势：

1.效率更高。

在使用PreparedStatement对象执行SQL命令时，命令会被数据库进行编译和解析，并放到命令缓冲区，而后，每当执行同一个PreparedStatement对象时，因为在缓存区中能够发现预编译的命令，虽然它会被再解析一次，可是不会被再一次编译，是能够重复使用的，可以有效提升系统性能，所以，若是要执行插入，更新，删除等操做，最好使用PreparedSatement。鉴于此，PreparedStatement适用于存在大量用户的企业级应用软件中。

2.代码可读性和可维护性更好。

下两种方法分别使用Statement和PreparedStatement来执行SQL语句，显然方法二具备更好的可读性。

方法1：

stmt.executeUpdate("insert into t(col1,xol2) values('"+var2+"','"+var2+"')");

方法2：

perstmt = con.prepareStatement("insert into tb_name(col1,col2) values(?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);

3.安全性更好。

使用PreparedStatement可以预防SQL注入攻击，所谓SQL注入，指的是经过把SQL命令插入到Web表单提交或者输入域名或者页面请求的查询字符串，最终达到欺骗服务器，达到执行恶意SQL命令的目的。注入只对SQL语句的编译过程有破坏做用，而执行阶段只是把输入串做为数据处理，再也不须要对SQL语句进行解析，所以也就避免了相似select * from user where name='aa' and password='bb' or 1=1的sql注入问题的发生。

 

CallableStatement由prepareCall()方法所建立，它为全部的DBMS（Database Management System）提供了一种以标准形式调用已存储过程的方法。它从PreparedStatement中继承了用于处理输入参数的方法，并且还增长了调用数据库中的存储过程和函数以及设置输出类型参数的功能。