Skip to content
Latchkey

O Que É um Prepared Statement?

Um prepared statement é um comando SQL que o banco de dados faz parse e planeja uma vez, com placeholders de parâmetro no lugar dos valores reais. A aplicação então o executa muitas vezes vinculando valores diferentes a esses placeholders. Como os valores são vinculados separadamente do texto da query, os prepared statements previnem SQL injection.

Por que isso importa

Reutilizar um plano pré-compilado economiza trabalho de parse em queries repetidas, e a vinculação de parâmetros bloqueia ataques de injection. É a forma segura padrão de executar SQL dinâmico.

Guias relacionados