Что такое prepared statement?

Prepared statement — это предкомпилированный SQL-запрос, в который ты подставляешь параметры через плейсхолдеры вместо конкатенации строк. В PostgreSQL это $1, $2, в MySQL — знаки вопроса. База парсит и планирует запрос один раз, а потом выполняет его много раз с разными параметрами — это быстрее и безопаснее. Главный бонус — защита от SQL injection, потому что параметры экранируются автоматически. В Go pgx использует prepared statements под капотом: pool.Query(ctx, "SELECT * FROM users WHERE id = $1", id) — тут id никогда не попадёт в SQL как строка.