传送给数据库的 SQL 语句通过一个包含两个步骤的过程来返回结果。首先准备它们，然后处理它们。借助 Statement 对象，这两个阶段对应用程序而言变成一个阶段。PreparedStatement 允许将这两个步骤分开。准备步骤在创建对象时发生，而处理步骤在对 PreparedStatement 对象调用 executeQuery、executeUpdate 或 execute 方法时发生。

如果不添加参数标记，能够将 SQL 处理分割成单独的阶段并没有意义。参数标记放在应用程序中，从而使它能够告诉数据库它在准备时并不具有特定的值，但它在处理之前提供一个值。在 SQL 语句中，参数标记是使用问号表示的。

通过使用参数标记，有可能创建用于特定请求的一般 SQL 语句。例如，给定以下 SQL 查询语句：

SELECT * FROM EMPLOYEE_TABLE WHERE LASTNAME = 'DETTINGER'

这是一个特定的 SQL 语句，它只返回一个值；即关于名为 Dettinger 的雇员的信息。通过添加参数标记，可以使语句更为灵活：

SELECT * FROM EMPLOYEE_TABLE WHERE LASTNAME = ?

通过简单地将参数标记设置为某个值，可以获取关于表中的任何雇员的信息。

由于前一个 Statement 示例可以只经过一次准备阶段并接着使用不同的参数值来重复地进行处理，所以 PreparedStatement 能够提供比 Statement 更高的性能。

注意：要支持本机 JDBC 驱动程序的语句合用，必须使用 PreparedStatement。

prepareStatement 方法用来创建新的 PreparedStatement 对象。与 createStatement 方法不同，创建 PreparedStatement 对象时必须提供 SQL 语句。在那个时候，对 SQL 语句进行预编译以供使用。例如，假定已存在名为 conn 的 Connection 对象，以下示例将创建 PreparedStatement 对象并准备要在数据库中处理的 SQL 语句。

PreparedStatement ps = conn.prepareStatement("SELECT * FROM EMPLOYEE_TABLE
WHERE LASTNAME = ?");

与 createStatement 方法相同，重载 prepareStatement 方法的目的是提供对指定 ResultSet 特征的支持。prepareStatement 方法还具有变体，可使用自动生成的键。以下是有效 prepareStatement 方法调用的一些示例：

示例：prepareStatement 方法

注意：请阅读代码示例不保证声明以了解重要的法律信息。

// New in JDBC 2.0

PreparedStatement ps2 = conn.prepareStatement("SELECT * FROM
EMPLOYEE_TABLE WHERE LASTNAME = ?",

ResultSet.TYPE_SCROLL_INSENSITIVE,
ResultSet.CONCUR_UPDATEABLE);

// New in JDBC 3.0

PreparedStatement ps3 = conn.prepareStatement("SELECT * FROM
EMPLOYEE_TABLE WHERE LASTNAME = ?",
ResultSet.TYPE_SCROLL_INSENSITIVE, ResultSet.CONCUR_UPDATEABLE,
ResultSet.HOLD_CURSOR_OVER_COMMIT);

PreparedStatement ps4 = conn.prepareStatement("SELECT * FROM
EMPLOYEE_TABLE WHERE LASTNAME = ?", Statement.RETURN_GENERATED_KEYS);

在可以处理 PreparedStatement 对象之前，必须将每个参数标记设置为一些值。PreparedStatement 对象提供了许多个用于设置参数的方法。所有这些方法的格式均为 set<Type>，其中 <Type> 是 Java 数据类型。这些方法的一些示例包括 setInt、setLong、setString、setTimestamp、setNull 和 setBlob。几乎所有这些方法都有两个参数：

* 第一个参数是该参数在语句中的索引。参数标记具有从 1 开始的编号。
* 第二个参数是要对第一个参数设置的值。有几个 set<Type> 方法具有附加的参数，如 setBinaryStream 上的长度参数。

有关更多信息，请查阅 java.sql 包的 Javadoc。通过对 ps 给出在先前示例中准备的 SQL 语句，以下代码说明了如何在处理之前指定参数值：

ps.setString(1,'Dettinger');

如果尝试处理带有尚未设置的参数标记的 PreparedStatement，则将抛出 SQLException。

注意：在设置参数标记之后，除非发生下列情况，否则参数标记将保持具有同一个值。

* 另一个 set 方法调用更改了该值。
* 调用 clearParameters 方法时除去了该值。

clearParameters 方法将所有参数都标记为尚未设置。在进行 clearParameters 调用之后，在执行下一个过程之前，必须再次对所有参数调用 set 方法。

新的 ParameterMetaData 接口允许检索关于参数的信息。此支持与 ResultSetMetaData 相符并且类似。提供了全面的诸如精度、标度、数据类型、数据类型名以及该参数是否允许空值之类的信息。
 

在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement

一.代码的可读性和可维护性.
虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:

stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values (´"+var1+"´,´"+var2+"´,"+var3+",´"+var4+"´)");

perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate();

不用我多说,对于第一种方法.别说其他人去读你的代码,就是你自己过一段时间再去读,都会觉得伤心.

二.PreparedStatement尽最大可能提高性能.
每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以直接执行.而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配.比如:
insert into tb_name (col1,col2) values (´11´,´22´);
insert into tb_name (col1,col2) values (´11´,´23´);
即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.这样每执行一次都要对传入的语句编译一次.

当然并不是所以预编译语句都一定会被缓存,数据库本身会用一种策略,比如使用频度等因素来决定什么时候不再缓存已有的预编译结果.以保存有更多的空间存储新的预编译语句.

三.最重要的一点是极大地提高了安全性.

即使到目前为止,仍有一些人连基本的恶义SQL语法都不知道.
String sql = "select * from tb_name where name= ´"+varname+"´ and passwd=´"+varpasswd+"´";
如果我们把[´ or ´1´ = ´1]作为varpasswd传入进来.用户名随意,看看会成为什么?

select * from tb_name = ´随意´ and passwd = ´´ or ´1´ = ´1´;
因为´1´=´1´肯定成立,所以可以任何通过验证.更有甚者:
把[´;drop table tb_name;]作为varpasswd传入进来,则:
select * from tb_name = ´随意´ and passwd = ´´;drop table tb_name;有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行.

而如果你使用预编译语句.你传入的任何内容就不会和原来的语句发生任何匹配的关系.(前提是数据库本身支持预编译,但上前可能没有什么服务端数据库不支持编译了,只有少数的桌面数据库,就是直接文件访问的那些)只要全使用预编译语句,你就用不着对传入的数据做任何过虑.而如果使用普通的statement,有可能要对drop,;等做费尽心机的判断和过虑.

上面的几个原因,还不足让你在任何时候都使用PreparedStatement吗?

Code Fragment 1:

String updateString = "UPDATE COFFEES SET SALES = 75 " + "WHERE COF_NAME LIKE ′Colombian′";
stmt.executeUpdate(updateString);

Code Fragment 2:

PreparedStatement updateSales = con.prepareStatement("UPDATE COFFEES SET SALES = ? WHERE COF_NAME LIKE ? ");
updateSales.setInt(1, 75);
updateSales.setString(2, "Colombian");
updateSales.executeUpdate();


片段2和片断1的区别在于：后者使用了PreparedStatement对象，而前者是普通的Statement对象。PreparedStatement对象不仅包含了SQL语句，而且大多数情况下这个语句已经被预编译过，因而当其执行时，只需DBMS运行SQL语句，而不必先编译。当你需要执行Statement对象多次的时候，preparedStatement对象将会大大降低运行时间，当然也加快了访问数据库的速度。这种转换也给你带来很大的便利，不必重复SQL语句的句法，而只需要更改其中变量的值，便可重新执行SQL语句。选择PreParedStatement对象与否，在于相同的句法的SQL语句是否执行了多次，而且两次之间的差别仅仅是变量不同，如果仅仅执行了一次的话，它应该和普通的对象毫无差异，体现不出她预编译的优越性。