Statement와 PreparedStatement

Statement
- 속도 느림
- 불편
-> 있는 그대로 실행

PreparedStatement
- 속도 빠름
- 더 편함
- 보안 (SQL Injection)
-> 미리 SQL 준비해 놓고 나중에 실행

예) 가입일이 2022년인 회원 조회
SELECT * from t_member WHERE joindate between '2022-01-01' and '2022-12-31'

변수: startDate, endDate

Statement
SELECT * from t_member WHERE joindate between '"+startDate+"' and '"+endDate"'
-> 그대로 실행

Prepared
SELECT * from t_member WHERE joindate between ? and ?
-> 준비해두고 ? 값을 대입 후 실행

로그인할때 
String id = "admin '--"; // statement는 그대로 들어간다. 따라서 아이디가 admin이 되고
뒤는 주석 처리가 되어버린다. => 대표적인 SQL Injection 사례
Statement
"select * from t_member where id = '"+id+"' and pwd = '"+pwd+"'

Prepared
"select * from t_member where id = ? and pwd = ? // Prepared를 사용->  물음표는 주석이 안먹는다.