Передача параметров в SQL-запросах обычно выполняется с помощью подготовленных выражений (Prepared Statements). Это позволяет избежать SQL-инъекций и повысить производительность при повторном выполнении похожих запросов.

В Java это делается через класс PreparedStatement. Вместо прямой вставки значений в строку запроса используются плейсхолдеры ?, которые затем заменяются на конкретные значения с помощью методов setXXX.

Пример:

String sql = "SELECT * FROM users WHERE id = ? AND status = ?";
PreparedStatement pstmt = connection.prepareStatement(sql);
pstmt.setInt(1, 10); // первый параметр
pstmt.setString(2, "active"); // второй параметр
ResultSet rs = pstmt.executeQuery();

Такой подход обеспечивает безопасность и удобство работы с параметрами.

Каким образом выполняется передача параметров в SQL-запросах?