Prima :
fai attenzione quando inserisci direttamente una stringa all'interno delle query, perché puoi essere il bersaglio di un'iniezione SQL
Secondo :
cambiare direttamente la query potrebbe essere la soluzione più semplice
// $a is either null or something like [1, 2]
$sql = "SELECT id FROM user";
if ($a) {
$debug = implode(',', $a);
$sql = "SELECT id FROM user WHERE id IN ($debug)";
}
