调试易

1. 执行效率：Statement 采取直接编译 SQL 语句的方式，扔给数据库去执行，而 PreparedStatement 则先将 SQL  语句预编译一遍，再填充参数，这样效率会高一些。JDK 文档说：SQL 语句被预编译并且存储在 PreparedStatement 对象中，其后可以使用该对象高效地多次执行该语句。 2. 代码可读性：Statement 中 SQL 语句中需要 Java 中的变量，加就得进行字符串的运算，还需要考虑一些引号、单引号的问题，参数变量越多，代码就越难看；而 PreparedStatement，则不需要这样，参数可以采用“?”代替，接下来再进行参数的填充，这样利于代码的可读性，并且符合面向对象的思想。3. 安全性：Statement 由于可能需要采取字符串与变量的拼接，很容易进行 SQL 注入攻击，而 PreparedStatement 由于是预编译，再填充参数的，不存在 SQL 注入问题。

1楼说的好详细，补充以下 用PreparedStatement  开发速度也会相对快一些，另外建议使用PreparedStatement 预处理方法！

UP
PreparedStatement 相对于处理复杂的SQL

再补充一下，PreparedStatement 可以把所有对象都按照String类型赋值，避免了数据类型与格式的问题

非常谢谢bao110908(bao)(bao)(讨厌蟑螂)你的帮助