PreparedStatement

PreparedStatement 在执行之前声明该语句,并允许参数的占位符。这允许在服务器上准备(和优化)一次语句,然后使用不同的参数集重用。

参数占位符的附加好处是它提供了针对 SQL 注入的保护。这可以通过单独发送参数值,或者因为驱动程序根据需要正确转义值来实现。