Als Prepared Statement bezeichnet man ein SQL-Kommando, welches nicht zur Laufzeit als Text an den SQL-Server gesandt wird, sondern entweder zur Compilezeit oder kurz vor der Befüllung zur Laufzeit schon vorkompiliert wird. Prepared Statements beinhalten Platzhalter, die dann, wenn das Kommando ausgeführt wird, mit Informationen befüllt werden. Prepared Statements haben den Vorteil, dass sie nur einmal kompiliert werden müssen und dann immer wieder ausgeführt werden können. So sind Programme mit Prepared Statements schneller. Ein weiterer Vorteil ist, dass Prepared Statements für Angriffe von Hackern nicht anfällig sind, da keine Kommandos in Strings eingeschleust werden können.
