和 Statement一樣,PreparedStatement也是用來執行sql語句的
與創建Statement不同的是,需要根據sql語句創建PreparedStatement
除此之外,還能夠通過設置參數,指定相應的值,而不是Statement那樣使用字符串拼接
Statement 需要進行字符串拼接,可讀性和維護性比較差
String sql = "insert into hero values(null,"+"'提莫'"+","+313.0f+","+50+")";
PreparedStatement 使用參數設置,可讀性好,不易犯錯
String sql = "insert into hero values(null,?,?,?)";
PreparedStatement有預編譯機制,性能比Statement更快
PreparedStatement的優點3-防止SQL注入式攻擊