Esto no es posible en MySQL. Puede crear un número requerido de parámetros y ACTUALIZAR... EN (?,?,?,?). Esto evita los ataques de inyección (pero aún requiere que reconstruyas la consulta para cada conteo de parámetros).
Otra forma es pasar una cadena separada por comas y analizarla.
