PreparedStatement与Statement的区别和联系

1、关系

       PreparedStatement继承Statement，他们属于父与子的关系。使用上来说Statement使用的地方都可以换成PreparedStatement。

2、安全性

      Statement的直接执行SQL语句，无法防止SQL注入问题。PreparedStatement可以使用占位符，可以防止SQL注入问题。

这里举例说明：
使用Statement
       stmt.executeQuery("select * from users where lastname = '"+lastName+"'");
使用PreparedStatement
       perstmt = con.prepareStatement("select * from users where lastname = ?");
       perstmt.setString(1,lastName); 

       rs=perstmt.executeQuery();

       从上面可以明显看出使用Statement时，如果对lastName的值进行恶意的修改，那么就可能出现进行额外的操作、类型等等错误。最简单的“' or 1 or'”或关键字等等。而PreparedStatement由于内置了字符过滤，那么就相当于 where name = ' or 1 or'显然没有对应记录. 这就体现了PreparedStatement的防注入功能，将一些常用的错误屏蔽掉。

3、性能

PreparedStatement：

       1） addBatch()将一组参数添加到PreparedStatement对象内部。
       2） executeBatch()将一批参数提交给数据库来执行，如果全部命令执行成功，则返回更新计数组成的数组。
Statement：
       1） addBatch(String sql)方法会在批处理缓存中加入一条sql语句。

       2） executeBatch()执行批处理缓存中的所有sql语句。

       从两者的executeBatch方法的使用说明我们就可以明显的看出:

       从第一次执行的角度：PreparedStatement由于占位符的使用，第一次执行需要很多额外的工作，例如占位符转换等等，这些都需要消耗一定的事件和资源。而Statement直接执行相对来说效率要高、消耗要少一些。

       从多次执行的角度：PreparedStatement由于使用占位符进行预编译时，保存的执行代码被缓存，下次调用的时候就可以不再被编译而可以直接执行。而Statement即使执行一样的操作，由于操作数据不同，所以执行语句也需要再次编译。