PreparedStatement contiene una sentencia SQL precompilada con marcadores de parámetro que deben ser reemplazados antes de ejecutar la sentencia. CallableStatement permite ejecutar procedimientos almacenados y interactuar con los resultados. PreparedStatement y CallableStatement mejoran la seguridad al evitar errores de sintaxis y ataques de inyección SQL.

2. Definición
Las instancias de PreparedStatement contienen una sentencia SQL que ya ha sido compilada.
La sentencia SQL contenida en un objeto PreparedStatement pueden tener uno o más parámetros
IN. Un parámetro IN es aquel cuyo valor no se especifica en la sentencia SQL cuando se crea. En vez
de ello la sentencia tiene un interrogante (‘?’) como un ‘ancla’ para cada parámetro IN. Debes
suministrar un valor para cada interrogante mediante el método apropiado, que puede
ser: setInt, setString, etc, antes de ejecutar la sentencia.

5. Uso de CallableStatement
Un objeto CallableStatement provee de una forma estándar de llamar a procedimientos almacenados de la
base de datos. Un procedimiento almacenado se encuentra en la base de datos.

6. Ejemplos
El siguiente fragmento de código, donde con es un objeto Connection, crea un objeto PreparedStatement
que contiene una instrucción SQL:
//Creamos un objeto PreparedStatement desde el objeto Connection
PreparedStatement ps = con.prepareStatement(
"select * forma Propietarios where DNI=? AND NOMBRE=? AND EDAD=?");
//Seteamos los datos al prepared statement de la siguiente forma:
ps.setString(1, dni);

7. . Recomendaciones
 Para poder ejecutar un objeto PreparedStatement, primero hay que establecer un valor en cada uno de los
marcadores de parámetro.
 Se recomienda usar esta clase porque nos permite hacer uso de los procedimientos almacenados. Ya que
todos sabemos que gracias a los procedimientos almacenados a nosotros los programadores nos permite
hacer una programación más ordenada y de esta manera poder hacer que nuestro programa no esté muy
pesado.

8. Conclusiones
Como hemos visto la interfaz CallableStatements nos permite ejecutar procedimientos almacenados e interactuar
con el resultado de una manera rápida y sencilla posicionandose como una buena opción a la hora de trabajar con
procedimientos almacenados.
Los PreparedStatement, también está el tema de seguridad. Con PreparedStatement evitamos tener que chequear
y "escapar" los caracteres conflictivos en las cadenas de texto que vamos a insertar en base de datos. Si vamos a
insertar un nombre de usuario que pedimos al usuario y a este se le ocurre poner una comilla simple, por ejemplo
"O’Donnell", podemos meterla tal cual en un PreparedStatement, pero necesitamos "escapar" la comilla antes de
usarla en un Statement.