PreparedStatement компилирует SQL один раз, затем выполняет с разными параметрами — экономит parsing overhead. Главное: параметры устанавливаются через setString/setInt а не конкатенацией строк — полная защита от SQL injection. БД кеширует execution plan для prepared statement — быстрее повторные выполнения. Statement нельзя использовать с пользовательскими данными никогда — это классическая уязвимость. При batch операциях PreparedStatement + addBatch/executeBatch ещё эффективнее.

Какие основные промежуточные операции в Stream API?

Чем PreparedStatement лучше Statement и почему всегда нужно использовать его?