本人的幾點淺見，各位大大不喜勿噴。

先說下這倆到底是干啥的吧。其實這倆干的活兒都一樣，就是創(chuàng)建了一個對象然后去通過對象調(diào)用executeQuery方法來執(zhí)行sql語句。說是CreateStatement和PrepareStatement的區(qū)別，但其實說的就是Statement和PrepareStatement的區(qū)別，相信大家在網(wǎng)上已經(jīng)看到過不少這方面的資料和博客，我在此處提幾點，大家看到過的，就當(dāng)重記憶，沒看到就當(dāng)補充~下面開始談?wù)勊麄兊膮^(qū)別。

最明顯的區(qū)別，就是執(zhí)行的sql語句格式不同。我們往上放兩段代碼來看看他們的區(qū)別把：

代碼背景：我們有一個數(shù)據(jù)庫，里面有一個user表，有username,userpwd兩列。我們要查出這兩列的數(shù)據(jù)。

這是使用CreateStatement方法創(chuàng)建了stmt對象，再通過他查詢的一部分語句片段。

String sql = "select * from users where  username= '"+username+"' and userpwd='"+userpwd+"'";
stmt = conn.createStatement();
rs = stmt.executeQuery(sql);

String sql = "select * from users where  username=? and userpwd=?";
pstmt = conn.prepareStatement(sql);
pstmt.setString(1, username);
pstmt.setString(2, userpwd);
rs = pstmt.executeQuery();

相信寫到這，大家很多人就能看出來了，原來PrepareStatement跟Statement的主要區(qū)別就是把上面sql語句中的變量抽出來了。這就是我要說的第一大優(yōu)點，PrepareStatement可以提高代碼的可讀性。什么？你沒覺得這有什么可以提高可讀性的？那好，咱來看看下面這兩段代碼，看完你再說話。

代碼背景：我們有一個數(shù)據(jù)庫，里面有一個book表，有bookid,bookname,bookauthor,booksort,bookprice五列。我們要向這個表中添加一部分?jǐn)?shù)據(jù)。

Statement版

String sql = "insert into book (bookid,bookname,bookauthor,booksort,bookprice) values ('"+var1+"',
                                '"+var2+"',"+var3+",'"+var4+","+var5+"')";
stmt = conn.createStatement();
rs = stmt.executeUpdate(sql);

ParperStatement版

String sql = "insert into book (bookid,bookname,bookauthor,booksort,bookprice) values (?,?,?,?,?)";
pstmt = conn.prepareStatement(sql);
pstmt.setString(1,var1);
pstmt.setString(2,var2);
pstmt.setString(3,var3);
pstmt.setString(4,var4);
pstmt.setString(5,var5);
pstmt.executeUpdate();

下面說說第二點優(yōu)點。ParperStatement提高了代碼的靈活性和執(zhí)行效率。

PrepareStatement接口是Statement接口的子接口，他繼承了Statement接口的所有功能。它主要是拿來解決我們使用Statement對象多次執(zhí)行同一個SQL語句的效率問題的。ParperStatement接口的機制是在數(shù)據(jù)庫支持預(yù)編譯的情況下預(yù)先將SQL語句編譯，當(dāng)多次執(zhí)行這條SQL語句時，可以直接執(zhí)行編譯好的SQL語句，這樣就大大提高了程序的靈活性和執(zhí)行效率。

最后但也是最重要的一個大大的比Statement好的優(yōu)點，那就是安全！

你說啥？這還關(guān)安全啥事兒，那我給你一行代碼，你來給我說說這是干嘛的。

String sql = "select * from user where username= '"+varname+"' and userpwd='"+varpasswd+"'";
stmt = conn.createStatement();
rs = stmt.executeUpdate(sql);

select * from user where username = 'user' and userpwd = '' or '1' = '1';

String sql = "select * from user where username= '"+varname+"' and userpwd='"+varpasswd+"'";
stmt = conn.createStatement();
rs = stmt.executeUpdate(sql);

文章寫到這就結(jié)束了。hope can help~