PreparedStatement
Тема дорожной карты · Java
PreparedStatement в JDBC — это основной интерфейс для выполнения параметризованных SQL-запросов к реляционной базе данных из Java, предлагающий как преимущество безопасности перед простым Statement (предотвращая SQL-инъекции через подстановку заполнителей), так и преимущество производительности за счёт кеширования планов запросов на стороне сервера. PreparedStatement получается из Connection через connection.prepareStatement(sql), где SQL-шаблон использует заполнители ?, а параметры привязываются через типозависимые методы-сеттеры — setInt(1, id), setString(2, name), setTimestamp(3, ts), setNull(4, Types.VARCHAR) — перед вызовом executeQuery() или executeUpdate(). PreparedStatement в JDBC поддерживает пакетные операции через addBatch() и executeBatch(), агрегирующие несколько DML-операторов в единственный сетевой round-trip — критическая оптимизация для сценариев массовой вставки или массового обновления в Spring JDBC, JdbcTemplate и слое JDBC-батчинга Hibernate. Правильное управление ресурсами требует закрытия PreparedStatement в блоке finally или, предпочтительно, использования оператора try-with-resources, автоматически вызывающего close() на операторе и Connection, предотвращая исчерпание пула соединений в долгоработающих JVM-приложениях. Глубокое понимание PreparedStatement в JDBC является фундаментом для Java-разработчиков, работающих ниже уровня ORM с JdbcTemplate, NamedParameterJdbcTemplate Spring или прямым JDBC на критических путях производительности.
Как это работает
PreparedStatement (Java Database Connectivity) — стандартный SQL-API: DriverManager.getConnection, PreparedStatement, ResultSet. Connection pooling (HikariCP — де факто) обязателен в production. Higher-level абстракции: JPA / Hibernate (ORM), Spring Data JPA, jOOQ (type-safe SQL DSL), MyBatis (mapper-based). Для Spring Boot — Spring Data JPA + Flyway/Liquibase для миграций (конвенциональный стек).
Когда применять
Всегда PreparedStatement с параметрами (?) — никогда не конкатенируйте SQL с user-input. HikariCP для pool (разумнее defaults, чем DBCP). JPA/Hibernate — для CRUD-heavy приложений, где ORM экономит время; jOOQ — когда SQL должен быть first-class. Миграции схемы всегда через тул (Flyway, Liquibase); никогда руками в prod.
Типичные ошибки
Ловушки PreparedStatement: SQL-инъекция из конкатенации ("я же доверяю input" — пока не доверяете); утечки соединений (всегда try-with-resources или контейнер-managed); N+1 запросов от наивного Hibernate (eager-load явно через JOIN FETCH); медленный старт из-за Hibernate-metamodel + прогрев pool (прогревайте в CI/тестах).