JSP - Statement와 PreparedStatement의 차이

Statement

• 해당 입력값이 db서버에게 연산될 수 있는 취약한 구문임
• 옛날에 주로 사용함
• 매번 파싱과정을 거쳐야 함
• 정적인 쿼리에 사용함
• query 문 실행시에 결과값을 생성
  

PreparedStatement

• 이미 정제된 상태로 db서버에게 값만 넘겨주는 구문임
• 글을 쓰는 버퍼임
• 변수로 바인딩이 가능함
• 인젝션 공격을 방어해줌
• 동적인 쿼리에 사용함
• 객체가 query 문을 생성시에 실행