Това не е възможно в MySQL. Можете да създадете необходимия брой параметри и да направите UPDATE ... IN (?,?,?,?). Това предотвратява атаки с инжектиране (но все пак изисква да изградите отново заявката за всеки брой параметър).
Друг начин е да предадете разделен със запетая низ и да го анализирате.