O Que É um Prepared Statement?
Um prepared statement é um comando SQL que o banco de dados faz parse e planeja uma vez, com placeholders de parâmetro no lugar dos valores reais. A aplicação então o executa muitas vezes vinculando valores diferentes a esses placeholders. Como os valores são vinculados separadamente do texto da query, os prepared statements previnem SQL injection.
Por que isso importa
Reutilizar um plano pré-compilado economiza trabalho de parse em queries repetidas, e a vinculação de parâmetros bloqueia ataques de injection. É a forma segura padrão de executar SQL dinâmico.
Guias relacionados
What Is a Connection String?A connection string is a single text value holding the parameters needed to connect to a database, such as ho…
What Is a Query Plan?A query plan is the step-by-step strategy a database chooses to execute a SQL statement, including which inde…
What Is a Database Index?A database index is an auxiliary data structure that lets the engine find rows matching a query quickly, avoi…