Questo non è possibile in MySQL. Puoi creare un numero richiesto di parametri e fare UPDATE ... IN (?,?,?,?). Ciò previene gli attacchi injection (ma richiede comunque di ricostruire la query per ogni conteggio di parametri).
Un altro modo è passare una stringa separata da virgole e analizzarla.
