PreparedStatement是用來執行SQL查詢語句的API之一，Java提供了 Statement、PreparedStatement 和 CallableStatement三種方式來執行查詢語句，其中 Statement 用于通用查詢，PreparedStatement 用于執行參數化查詢，而 CallableStatement則是用于存儲過程。同時PreparedStatement還經常會在Java面試被提及，本文我們就來詳細聊一聊JDBC中的PreparedStatement。

那么PreparedStatement是什么呢？PreparedStatement是java.sql包下面的一個接口，用來執行SQL語句查詢，通過調用connection.preparedStatement(sql)方法可以獲得PreparedStatment對象。數據庫系統會對SQL語句進行預編譯處理（如果JDBC驅動支持的話），預處理語句將被預先編譯好，這條預編譯的sql查詢語句能在將來的查詢中重用，這樣一來，它比Statement對象生成的查詢速度更快。下面是一個例子：

public class PreparedStmtExample {

?public static void main(String args[]) throws SQLException

?{

??????Connection conn = DriverManager.getConnection("mysql:\\localhost:1520",

??????"root","root");

??????PreparedStatement preStatement = conn.prepareStatement("select distinct ??????loan_type from loan where bank=?");

??????preStatement.setString(1, "Citibank");

??????ResultSet result = preStatement.executeQuery();

??????while(result.next())

??????{

??????????System.out.println("Loan Type: " + result.getString("loan_type"));

??????} ??????

????}}

Output:

Loan Type: Personal Loan

Loan Type: Auto Loan

Loan Type: Home Loan

Loan Type: Gold Loan

這個例子中，如果還是用 PreparedStatement 做同樣的查詢，哪怕參數值不一樣，比如：”Standard Chated” 或者”HSBC”作為參數值，數據庫系統還是會去調用之前編譯器編譯好的執行語句（系統庫系統初次會對查詢語句做最大的性能優化）。默認會返回”TYPE_FORWARD_ONLY”類型的結果集（ ResultSet ）,當然你也可以使用preparedstatment()的重載方法返回不同類型的結果集。
使用 PreparedStatement 最重要的一點好處是它擁有更佳的性能優勢，SQL語句會預編譯在數據庫系統中。執行計劃同樣會被緩存起來，它允許數據庫做參數化查詢。使用預處理語句比普通的查詢更快，因為它做的工作更少（數據庫對SQL語句的分析，編譯，優化已經在第一次查詢前完成了）。為了減少數據庫的負載，生產環境中德JDBC代碼你應該總是使用PreparedStatement 。值得注意的一點是：為了獲得性能上的優勢，應該使用參數化sql查詢而不是字符串追加的方式。

比起凌亂的字符串追加似的查詢，PreparedStatement查詢可讀性更好、更安全。

PreparedStatement的局限性

盡管PreparedStatement非常實用，但是它仍有一定的限制。了防止SQL注入攻擊，PreparedStatement不允許一個占位符（？）有多個值，在執行有**IN**子句查詢的時候這個問題變得棘手起來。

關于PreparedStatement接口，需要重點記住的是：

1. PreparedStatement可以寫參數化查詢，比Statement能獲得更好的性能。

2. 對于PreparedStatement來說，數據庫可以使用已經編譯過及定義好的執行計劃，這種預處理語句查詢比普通的查詢運行速度更快。

3. PreparedStatement可以阻止常見的SQL注入式攻擊。

4. PreparedStatement可以寫動態查詢語句

5. PreparedStatement與java.sql.Connection對象是關聯的，一旦你關閉了connection，PreparedStatement也沒法使用了。

6. “?” 叫做占位符。

7. PreparedStatement查詢默認返回FORWARD_ONLY的ResultSet，你只能往一個方向移動結果集的游標。當然你還可以設定為其他類型的值如：”CONCUR_READ_ONLY”。

8. 不支持預編譯SQL查詢的JDBC驅動，在調用connection.prepareStatement(sql)的時候，它不會把SQL查詢語句發送給數據庫做預處理，而是等到執行查詢動作的時候（調用executeQuery()方法時）才把查詢語句發送個數據庫，這種情況和使用Statement是一樣的。

9. 占位符的索引位置從1開始而不是0，如果填入0會導致*java.sql.SQLException invalid column index*異常。所以如果PreparedStatement有兩個占位符，那么第一個參數的索引時1，第二個參數的索引是2.

以上就是關于JDBC中的PreparedStatement的詳細介紹，當然由于篇幅限制我們沒有給出實際的代碼示例，在本站的JDBC教程中有很多很好的代碼實例，想要探究學習的小伙伴可以去下載學習，提高自己對JDBC的實際應用能力。