To není možné v MySQL. Můžete vytvořit požadovaný počet parametrů a provést UPDATE ... IN (?,?,?,?). To zabraňuje injekčním útokům (ale stále vyžaduje, abyste znovu sestavili dotaz pro každý počet parametrů).
Jiný způsob je předat řetězec oddělený čárkami a analyzovat jej.