为什要使用预编译SQL?

　　今天在研发部技术大牛的指点下，我终于明白了为什么要使用SQL预编译的形式执行数据库JDBC：

　　

　　然而总所周知，这种方式极有可能发生SQL注入攻击，那么什么是SQL注入攻击呢？

　　

　　如上图，我们想删除一条id = ' sk001 ' 的数据。这是理想情况下，但是如果用户恶意进行SQL注入攻击的话，比如这样

　　

　　

　　如果用户像以上者中情况注入SQL的话，相应的对我们的数据库将产生极大的漏洞和极大的安全问题，那么为什么我说预编译可以防范SQL注入攻击呢？

　　

　　这种方式能防范SQL注入的原理是在SQL参数未注入之前，提前对SQL语句进行预编译，而其后注入的参数将不会再进行SQL编译。也就是说其后注入进来的参数系统将不会认为它会是一条SQL语句，而默认其是一条一个参数。

　　所以回答标题的问题，为什么要使用SQL预编译来执行数据库JDBC？

　　　　就是防范SQL注入攻击~

　　以上属于个人见解，不足之处请多多指教