Điều này là không thể theo cách bạn thử. Bạn phải có một trình giữ chỗ riêng cho mọi tham số bạn muốn truyền vào, mọi thứ khác sẽ chống lại mục đích của tham số (là tách mã khỏi dữ liệu).
$ids = array(2, 4, 6, 8);
// prepare a string that contains ":id_0,..,:id_n" and include it in the SQL
$plist = ':id_'.implode(',:id_', array_keys($ids));
$sql = "SELECT * FROM someTable WHERE someId IN ($plist)";
// prepare & execute the actual statement
$parms = array_combine(explode(",", $plist), $ids);
$stmt = $PDO->prepare($sql);
$rows = $stmt->execute($parms);
Nếu bạn được phép truyền một mảng giá trị cho một tham số duy nhất trong quá trình liên kết, bạn sẽ được phép thay đổi câu lệnh SQL một cách hiệu quả. Đây sẽ là một lỗ hổng cho SQL injection - không có gì có thể đảm bảo rằng tất cả các giá trị mảng sẽ là số nguyên vô tội.
