Что такое подготовленный запрос (prepared statement) и зачем он используется?

Подготовленный запрос – это шаблон SQL с параметрами, который компилируется один раз, а затем может выполняться много раз с разными значениями параметров. Например, вместо вставки значений прямо в SQL пишется INSERT INTO T VALUES (?, ?) и компилируется, а потом при каждом вызове подставляются конкретные данные. Преимущества: более высокая производительность при многократном выполнении (разбор и оптимизация запроса делаются один раз), а главное – защита от SQL-инъекций, так как параметры не интерпретируются как код. Prepared statements широко используются в серверных приложениях при работе с БД.