Prepared Statement

[기술 문서] PHP PDO Prepared Statement의 이해

1. 개요 (Definition)

Prepared Statement(준비된 문장)는 SQL 쿼리의 **실행 구조(틀)**와 **데이터(값)**를 분리하여 처리하는 방식이다. 쿼리문을 미리 컴파일(Prepare)하고, 나중에 데이터를 바인딩(Bind)하여 실행함으로써 보안성과 성능을 동시에 확보한다.

2. 작동 프로세스 (3-Step)

준비 (Prepare):
- SQL 쿼리 틀을 작성한다. 데이터가 들어갈 자리에 변수 대신 **치환자(Placeholder)**를 넣는다.
- DB 서버는 쿼리의 구조를 미리 분석(파싱)하고 최적화한다.
바인딩 (Bind):
- 치환자 자리에 실제 데이터를 연결한다.
- 이때 입력된 값은 단순한 **'문자열'**로 취급되며, SQL 명령어로 해석되지 않는다.
실행 (Execute):
- DB 서버는 준비된 틀에 바인딩된 데이터를 채워 넣고 최종 실행한다.

3. 핵심 장점 (Advantages)

보안 (SQL Injection 방지): 사용자가 악의적으로 입력한 SQL 구문(예: ' OR '1'='1)이 쿼리 구조를 변경하지 못하도록 원천 차단한다.
성능 최적화: 동일한 쿼리를 값만 바꿔서 여러 번 실행할 경우, 파싱 단계를 생략하므로 실행 속도가 빠르다.
가독성: 문자열 연결 연산자(.)나 복잡한 따옴표(') 처리가 줄어들어 코드가 정돈된다.

4. 코드 분석 및 Java 비교

[코드 예시]

`// 1. 쿼리 준비 (Named Placeholder 사용) $stmt = $pdo->prepare("SELECT * FROM members WHERE MW_SEQ = :MW_SEQ");

// 2. 파라미터 바인딩 $stmt->bindParam(":MW_SEQ", $MW_SEQ);

// 3. 실행 및 결과 페치 $stmt->execute(); $row = $stmt->fetch(PDO::FETCH_ASSOC);`

[Java JDBC와 비교 설명]

비교 항목	PHP (PDO)	Java (JDBC)	설명
객체 생성	`$pdo->prepare($sql)`	`conn.prepareStatement(sql)`	쿼리 구조 정의
치환자	`:name` (이름 기반)	`?` (순서 기반)	PDO는 이름 기반 방식 지원(권장)
값 할당	`$stmt->bindParam()`	`stmt.setXxx()`	실제 데이터를 안전하게 주입
실행	`$stmt->execute()`	`stmt.executeQuery()`	DB 서버에 명령 전달
결과 반환	`$stmt->fetch()`	`rs.next()`	결과 셋에서 데이터를 한 행씩 가져옴

5. 결론 및 권장사항

클래스가 없는 레거시 환경이라 하더라도 DB 연동 시에는 위와 같은 PDO Prepared Statement 방식을 준수해야 한다. 이는 Java 개발자가 습관적으로 사용하는 PreparedStatement와 동일한 안전성을 보장하므로, 신규 로직 작성 시에도 이 패턴을 유지하는 것을 권장한다.