Detta är inte möjligt i MySQL. Du kan skapa ett nödvändigt antal parametrar och göra UPPDATERA ... IN (?,?,?,?). Detta förhindrar injektionsattacker (men kräver fortfarande att du bygger om frågan för varje parameterräkning).
Ett annat sätt är att skicka en kommaseparerad sträng och analysera den.