JDBCPreparedStatement有哪些优点和局限性？

1. JDBC PreparedStatement的优点

PreparedStatement是JDBC API的一部分，它是一种预编译的SQL语句，可以高效地执行多个相同类型的SQL语句。PreparedStatement的优点有以下几点：

1.1 可以提高性能

PreparedStatement在执行SQL语句时，将SQL语句预编译成一种语言，然后缓存这种语言，每当需要执行相同类型的SQL语句时，只需重复使用这种缓存的语言即可。这种预编译的语言将只编译一次，因此可以提高SQL语句的执行效率。例如：

String sql = "SELECT id, name, age FROM students WHERE age > ?";

PreparedStatement stmt = con.prepareStatement(sql);
...
stmt.setInt(1, 18);
ResultSet rs = stmt.executeQuery();
...
stmt.setInt(1, 20);
ResultSet rs2 = stmt.executeQuery();

在上面代码中，PreparedStatement对象stmt仅需要编译一次，第二次执行时不需要重新编译，从而提高了执行效率。

1.2 可以防止SQL注入攻击

通过使用PreparedStatement，可以避免SQL注入攻击。SQL注入攻击是指攻击者通过构造恶意的SQL语句来攻击数据库，从而取得敏感信息或破坏数据。

String name = request.getParameter("name");

String password = request.getParameter("password");
String sql = "SELECT id, name FROM users WHERE name=? AND password=?";
PreparedStatement stmt = con.prepareStatement(sql);
stmt.setString(1, name);
stmt.setString(2, password);
ResultSet rs = stmt.executeQuery();

在上面代码中，PreparedStatement会将传入的参数进行类型检查和转义，从而可以避免恶意的SQL注入攻击。

1.3 可以提高可读性

通过使用PreparedStatement，可以将SQL语句和变量的值分开，从而提高代码的可读性和可维护性。例如：

String sql = "SELECT id, name, age FROM students WHERE age > ?";

PreparedStatement stmt = con.prepareStatement(sql);
stmt.setInt(1, 18);
ResultSet rs = stmt.executeQuery();

在上面代码中，可以将SQL语句和变量的值分开，从而使代码更加清晰易懂。

2. JDBC PreparedStatement的局限性

尽管PreparedStatement有很多优点，但它也存在一些局限性，下面我们来看一下。

2.1 不适用于复杂的SQL语句

尽管PreparedStatement非常适用于执行相同类型的SQL语句，但对于复杂的SQL查询，PreparedStatement的效率可能比Statement更低。例如，在执行包含多个子查询和联接语句的复杂SQL语句时，PreparedStatement的执行效率可能会降低。

2.2 不支持动态列名

PreparedStatement对象只能使用固定的SQL语句，它不能使用动态列名。

String column = ...; // 可能会改变

String sql = "SELECT ? FROM students";
PreparedStatement stmt = con.prepareStatement(sql);
stmt.setString(1, column);
ResultSet rs = stmt.executeQuery();

在上面的代码中，如果变量column的值会改变，那么PreparedStatement对象就无法正确地预编译SQL语句，从而抛出异常。

2.3 不支持存储过程和函数的调用

尽管PreparedStatement可以执行SQL语句，但它并不支持存储过程和函数的调用。

3. 结论

综上所述，PreparedStatement是JDBC API的一部分，它是一种预编译的SQL语句，可以提高SQL语句的执行效率、防止SQL注入攻击、提高代码的可读性和可维护性等。但PreparedStatement也存在一些局限性，比如不适用于复杂的SQL语句、不支持动态列名、不支持存储过程和函数的调用等。因此，在选择使用PreparedStatement时，需要综合考虑以上的优缺点，根据具体的业务需求和实际情况进行选择。