Isso não é possível no MySQL. Você pode criar um número necessário de parâmetros e fazer UPDATE ... IN (?,?,?,?). Isso evita ataques de injeção (mas ainda exige que você reconstrua a consulta para cada contagem de parâmetro).

Outra maneira é passar uma string separada por vírgulas e analisá-la.