# 🧩 JDBC: Consultas Preparadas con PreparedStatement


## 1. Introducción

`PreparedStatement` es una herramienta clave en JDBC para ejecutar consultas parametrizadas de forma segura y eficiente.

A diferencia de `Statement`, evita concatenar cadenas y mejora la protección frente a ataques como la inyección SQL.



## 2. ¿Qué es PreparedStatement?

Es una interfaz que permite usar parámetros (`?`) en consultas SQL, que luego se reemplazan con valores concretos:

```java
String sql = "SELECT * FROM alumnos WHERE curso = ?";
PreparedStatement ps = conexion.prepareStatement(sql);
ps.setString(1, "DAM1");
ResultSet rs = ps.executeQuery();
```

Esta separación entre lógica y datos hace el código más seguro y limpio.



## 3. Ventajas de PreparedStatement

✅ **Seguridad**: evita inyecciones SQL.  
✅ **Rendimiento**: se compila una vez y puede reutilizarse.  
✅ **Claridad**: el código es más legible.  
✅ **Flexibilidad**: misma consulta, diferentes valores.  
✅ **Mantenimiento**: fácil de modificar sin reescribir todo.



## 4. Sintaxis Básica

```java
String sql = "SELECT * FROM alumnos WHERE edad > ?";
PreparedStatement ps = conexion.prepareStatement(sql);
ps.setInt(1, 20);

ResultSet rs = ps.executeQuery();

while (rs.next()) {
    System.out.println("Nombre: " + rs.getString("nombre") +
                       " | Edad: " + rs.getInt("edad"));
}
```

📌 Puedes reutilizar `ps` con nuevos valores y volver a ejecutar.



## 5. Métodos Útiles de PreparedStatement

- `setString(int pos, String val)`
- `setInt(int pos, int val)`
- `setDouble(int pos, double val)`
- `setBoolean(int pos, boolean val)`
- `setDate(int pos, java.sql.Date val)`

Para ejecutar:
- `executeQuery()` → consultas `SELECT`
- `executeUpdate()` → `INSERT`, `UPDATE`, `DELETE`



## 6. Uso Repetido con Distintos Valores

```java
String sql = "INSERT INTO alumnos (nombre, edad, curso) VALUES (?, ?, ?)";
PreparedStatement ps = conexion.prepareStatement(sql);

ps.setString(1, "Lucía");
ps.setInt(2, 19);
ps.setString(3, "DAM1");
ps.executeUpdate();

ps.setString(1, "Andrés");
ps.setInt(2, 21);
ps.setString(3, "ASIR1");
ps.executeUpdate();

ps.setString(1, "Carla");
ps.setInt(2, 22);
ps.setString(3, "DAM2");
ps.executeUpdate();
```

📈 Ideal para aplicaciones que insertan muchos datos dinámicos.



## 7. Comparativa Statement vs PreparedStatement

| Característica              | Statement         | PreparedStatement |
|----------------------------|-------------------|-------------------|
| Seguridad                  | ❌ No segura       | ✅ Muy segura      |
| Reutilización              | ❌ No              | ✅ Sí              |
| Parámetros dinámicos       | ❌ Concatenación   | ✅ Placeholder (?) |
| Claridad del código        | ❌ Menor           | ✅ Mayor           |
| Rendimiento en repetidas   | ❌ Menor           | ✅ Mayor           |
| Facilidad de mantenimiento | ❌ Baja            | ✅ Alta            |
| Escalabilidad              | ❌ Limitada        | ✅ Alta            |
