PreparedStatement 通常比 Statement 更快更安全,因其预编译机制可复用执行计划、防止 sql 注入;但性能优势依赖服务端预编译开启、参数类型一致及高频重复执行场景,否则可能无提升甚至更慢。
PreparedStatement 在 SQL 数据库操作中通常比 Statement 执行更快、更安全,但它的性能优势不是绝对的,取决于具体使用场景和数据库实现。
预编译带来的核心优势
PreparedStatement 的关键机制是“SQL 语句预编译”——客户端将带占位符(如 ?)的 SQL 发送给数据库,数据库解析、校验语法、生成执行计划并缓存。后续仅需传入参数值,跳过重复的解析与优化步骤。
- 避免每次执行都做词法/语法分析、语义检查、查询重写和执行计划生成
- 尤其对高频执行的相同结构 SQL(如用户登录、订单插入),效果明显
- 数据库端是否真正复用执行计划,还依赖驱动配置(如 mysql 的 useServerPrepStmts=true)和参数类型一致性
参数化防止 SQL 注入,间接提升稳定性
虽然这不是直接的“执行效率”,但参数绑定让数据库能更可靠地识别常量值,有利于执行计划缓存命中。若用字符串拼接构造 SQL(Statement),即使内容相同,因文本差异(空格、大小写、参数值不同)会导致数据库视为新语句,无法复用计划。
- 例如:
select * FROM user WHERE id = 123和SELECT * FROM user WHERE id = 456对 Statement 是两条不同语句 - 而
SELECT * FROM user WHERE id = ?配合 PreparedStatement,只要结构一致,就可共享同一执行计划
实际性能受驱动与配置影响大
并非所有 JDBC 驱动默认开启真正的服务端预编译。例如 MySQL Connector/J 默认在客户端模拟预编译(即“客户端 Prepared”),此时只是做了参数转义和格式化,并未减轻数据库负担。
- 启用服务端预编译:连接 URL 加 useServerPrepStmts=true
- 配合 cachePrepStmts=true 和 prepStmtCacheSize=250 可提升客户端缓存效率
- postgresql 的 pgjdbc 默认使用扩展协议(Extended Query),天然支持服务端预编译
不适合 PreparedStatement 的情况
并不是所有场景都适用。以下情况可能反而降低效率或引发问题:
- SQL 结构动态变化大(如字段、表名、WHERE 条件数不确定),强行用 PreparedStatement 需大量 if-else 拼装,失去简洁性且难以缓存
- 单次执行的 SQL(如后台初始化脚本),预编译开销成为净负担
- 某些数据库对 Prepare/Execute 循环有额外网络往返(尤其高延迟链路),简单语句反而变慢
- 使用了不支持预编译的特性(如 MySQL 的 LOAD DATA INFILE、DDL 语句部分版本限制)
不复杂但容易忽略:效率差异往往不在“执行”本身,而在“准备”阶段是否被有效分摊。合理开启服务端预编译 + 稳定参数模式 + 合理缓存配置,才能真正释放 PreparedStatement 的性能价值。