为什么要使用PrepareStatement成文

不可用Statement的原因：

我们在可用Statement接口时有一个缺点。因为在可用Statement接口要完成sql句子的堆砌，这样好好不仅困难，较易疏忽，而且还不存在安全漏洞。就是我们在不并不知道准确的Gmail名或者密码本的时候，在后面加上or 1=1 也可以换取准确的数据集，这就是典型的sql流进。

如果可用Statement都可在可执行SQL句子很较易受到SQL的流进，那什么是SQL流进呢？

只不过SQL流进就是Gmail在尽可能控制SQL查找、更新、插入、删去等句子的值的情况下，攻击者通过构造独有的输入字符串使后口程序错误地识别SQL查找句子之前 ·的编码与数据集之外从而导致检索信息系统输出了非未及期的结果的一种犯罪行为。

SELECT * FROM Users WHERE Username='1' OR '1'='1' AND Password='1'OR '1'='1'

可以通过这样的SQL句子流进必要不需要输入准确的句子，就可以换取Gmail录入最终的准确账号反馈等访问期间！

sql流进示例：

断言关键点是通过GET方法传递到路由器的，且搜索引擎为www.example.com 那么我们的访问期间恳求就是：

'%20or%20'1'%20=%20'1&password=1'%20or%20'1'%20=%20'1

对上面的SQL句子作过有趣数据集分析后我们就并不知道由于该句子爱人为容，所以应有会返国一些数据集，在这种情况下无论如何并未验证Gmail名和密码本，并且在某些系统之前，Gmail表的第一行历史纪录是管理员，那这样造成的灾难则更为严重。而PrepareStatement接口就不不存在这个问题。因为PrepareStatement可用的是未及PHP句子，起源于的任何数据集都不必和早已未及PHP的sql句子完成堆砌，避开了sql流进攻击。

那么PrepareStatement比Statement好在哪呢？

①大幅提高了编码的准确性和可维护性。虽然可用PreparedStatement来替代Statement会多几行编码，但是避开了繁琐困难又较易疏忽的sql句子堆砌，大幅提高了编码的准确性和可维护性。

②大幅提高了sql句子可执行的性能。创设Statement都可时不可用sql句子好好值，不必解和PHPsql句子，每次命令行方法可执行sql句子时都要完成sql句子解和PHP可用过，即可用过相近仅仅是数据集不同。而PrepareStatement就不必，因为每次创设PrepareStatement都可时可用sql句子好好值，会解和PHP该sql句子。也可以可用隐含标记符的sql句子好好值，在通过setXxx()方法给标记符表达式后可执行sql句子时无需在解和PHPsql句子，必要可执行即可。多次可执行相近的可用过可以大大大幅提高性能。

③大幅提高了安全性。因为PrepareStatement可用的是未及PHP句子，起源于的任何数据集都不必和早已未及PHP的sql句子完成堆砌，避开了sql流进攻击。