Что такое prepared statements и зачем их использовать?

Prepared statements — это предкомпилированные SQL запросы. В pg: pool.query({ name: "get-user", text: "SELECT * FROM users WHERE id = $1", values: [id] }). Преимущества: защита от SQL injection (параметры экранируются), производительность (запрос парсится один раз). Для частых запросов именованные prepared statements кэшируются на стороне сервера. Всегда используй параметризованные запросы ($1, $2) вместо интерполяции строк — это фундаментальное правило безопасности.