预编译可以防止sql注入的原因：允许数据库做参数化查询。在使用参数化查询的情况下，数据库不会将参数的内容视为sql执行的一部分，而是作为一个字段的属性值来处理，这样就算参数中包含破环性语句（or ‘1=1’）也不会被执行。
preparedstatement为什么能在一定程度上防止sql注入？ 
preparedstatement会对sql进行了预编译，在第一次执行sql前数据库会进行分析、编译和优化，同时执行计划同样会被缓存起来，它允许数据库做参数化查询。在使用参数化查询的情况下，数据库不会将参数的内容视为sql执行的一部分，而是作为一个字段的属性值来处理，这样就算参数中包含破环性语句（or ‘1=1’）也不会被执行。
推荐课程：java教程
怎么使用preparedstatement？如何避免sql注入式攻击？preparedstatement与statement有什么区别，有什么样的优势？
一个preparedstatement简单例子
public class jdbctest {    public static void main(string[] args) {        //表示使用unicode字符集；字符编码设置为utf-8；不使用ssl连接        string url = jdbc:mysql://127.0.0.1:3306/sampledb?useunicode=true& +                characterencoding=utf-8&usessl=false;        string user = spring4;//用户        string password = spring4;//密码        connection conn = null;        preparedstatement st = null;        resultset rs = null;        try {            //1.加载驱动程序到jvm            class.forname(com.mysql.jdbc.driver);            //2.创建数据库连接            conn = drivermanager.getconnection(url, user, password);            //3.创建statement，实现增删改查            string sql = select user_id,user_name,credits from t_user where credits > ?;            st = conn.preparestatement(sql);//这里使用preparedstatement            st.setint(1, 8);            //4.向数据库发送sql命令            rs = st.executequery();            //5.使用resultset处理数据库的返回结果            while (rs.next()) {                system.out.println(rs.getlong(user_id) +                          + rs.getstring(user_name) +                          + rs.getstring(credits));            }        } catch (classnotfoundexception | sqlexception e) {            e.printstacktrace();        } finally {            //6.关闭资源            try {                rs.close();                st.close();                conn.close();            } catch (sqlexception e) {                e.printstacktrace();            }        }    }}
statement的几种实现
statement 对象用于将sql语句发送到数据库中。 
statement每次执行sql语句，数据库都要执行sql语句的编译，最好用于仅执行一次查询并返回结果的情形 
1、执行静态sql语句。通常通过statement实例实现。 
2、执行动态sql语句。通常通过preparedstatement实例实现。 
3、执行数据库存储过程。通常通过callablestatement实例实现。
‘#’和‘$’的区别
sql 预编译指的是数据库驱动在发送 sql 语句和参数给 dbms 之前对 sql 语句进行编译，这样 dbms 执行 sql 时，就不需要重新编译。 
‘#{ }’：解析为一个 jdbc 预编译语句（prepared statement）的参数标记符，一个‘ #{ }’ 被解析为一个参数占位符 ? 。 
‘${ }’ 仅仅为一个纯粹的 string 替换，在动态 sql 解析阶段将会进行变量替换。在预编译之前已经被变量替换了 
‘${ }’变量的替换阶段是在动态 sql 解析阶段，而’#{ }’变量的替换是在 dbms 中。
preparedstatement与statement有什么区别
1.preparedstatement能预编译，这条预编译的sql查询语句能在将来的查询中重用，这样一来，它比statement对象生成的查询速度更快。 
2.preparedstatement可以写动态参数化的查询 
3.preparedstatement可以防止sql注入式攻击 
4.preparedstatement查询可读性更好，追加条件的语句很乱 
5.preparedstatement不允许一个占位符（？）有多个值
以上就是为什么预编译可以防止sql注入的详细内容。