これはMySQLでは不可能です。必要な数のパラメータを作成してUPDATE...IN(?、?、?、?)を実行できます。これにより、インジェクション攻撃が防止されます(ただし、パラメータカウントごとにクエリを再構築する必要があります)。
もう1つの方法は、カンマ区切りの文字列を渡して解析することです。
これはMySQLでは不可能です。必要な数のパラメータを作成してUPDATE...IN(?、?、?、?)を実行できます。これにより、インジェクション攻撃が防止されます(ただし、パラメータカウントごとにクエリを再構築する必要があります)。
もう1つの方法は、カンマ区切りの文字列を渡して解析することです。