JavaWeb中PreparedStatement对象与Statement对象的对比：

PreparedStatement是用来执行SQL查询语句的API之一，主要用于执行参数化的操作。PreparedStatement对象可以对SQL语句进行预编译，这可以有效地避免SQL注入引发的问题，同时也提升了代码的可维护性和可读性。

1、PrepareStatement能够执行参数化的SQL语句

由于PrepareStatement能够执行带参数的SQL语句，因此开发人员可以通过修改参数来反复调用同一个SQL语句，这样可以避免反复书写相同SQL语句的繁琐。
参数化的SQL语句，具体如下：

SELECT sname FROM student WHERE sid=?;

其中，“？”是参数的占位符，程序可以通过传入不同的sid值完成参数化查询。

2、PrepareStatement比Statement效率更高

使用PrepareStatement时，数据库的系统会对SQL语句进行预编译处理，执行计划同样会被缓存起来，这条预编译的SQL语句能够在将来的查询中重用，这样一来，它比Statement对象生成的查询速度更快，性能更好。为了减少数据库的负载，在实际开发中一般使用PrepareStatement.。

3、 PrepareStatement可以防止SQL注入攻击

使用 PrepareStatement的参数化操作，可以阻止大部分SQL注入。在使用参数化查询的情况下，数据库系统不会将参数的内容视为SQL指令的一部分来处理，而是在数据库完成SQL指令的编译后，才套用参数执行。