拼串 (Statement)方式：

1、编译次数多，效率比较低；会出现SQL注入问题（数据安全问题）：先传参数再编译

2、Sql文对应的字符串不一样，需要再次编译。

   Sql文对应的字符串一样，不会再编译，会从缓存中读取以前编译好的文件发送给数据库。

3、SQL注入问题：拼串的时候把特殊的内容(例如or 1=1)拼接到sql文当中，让它符合我们

   的编译规则，在缓存中正常编译，绕过正常验证机制，查询出不应该查询的内容。

占位符 (Prepared Statement)方式：

1、只编译一次，效率比较高；不会出现SQL注入问题（数据安全问题）：先编译再传参数

2、当sql文编译好后，如果添加特殊内容（例如or 1=1），发送到数据库后，数据库无法识别特殊内容（例如or 1=1），所以就不会产生sql注入问题了。

SQL编译过程