如果正确筛选输入数组，我们可以使用这个"WHERE id IN"子句。就像这样:

$galleries = array();

foreach ($_REQUEST['gallery_id'] as $key => $val) {
    $galleries[$key] = filter_var($val, FILTER_SANITIZE_NUMBER_INT);
}

如下面的例子所示:

$galleryIds = implode(',', $galleries);

也就是说，现在你应该安全地使用$query = "SELECT * FROM galleries WHERE id IN ({$galleryIds})";

再举一个例子:

$galleryIds = [1, '2', 'Vitruvian Man'];
$ids = array_filter($galleryIds, function($n){return (is_numeric($n));});
$ids = implode(', ', $ids);

$sql = "SELECT * FROM galleries WHERE id IN ({$ids})";
// output: 'SELECT * FROM galleries WHERE id IN (1, 2)'

$statement = $pdo->prepare($sql);
$statement->execute();

除了使用IN查询，您还有两个选择，因为在IN查询中存在SQL注入漏洞的风险。您可以使用循环来获得所需的确切数据，也可以使用带有or大小写的查询

1. SELECT *
      FROM galleries WHERE id=1 or id=2 or id=5;


2. $ids = array(1, 2, 5);
   foreach ($ids as $id) {
      $data[] = SELECT *
                    FROM galleries WHERE id= $id;
   }

你可能有表文本(T_ID (int)， T_TEXT (text))和表测试(id (int)， var (varchar(255)))

insert into test values (1， '1,2,3');下面将从T_ID IN(1,2,3)的表文本中输出行:

SELECT * FROM `texts` WHERE (SELECT FIND_IN_SET( T_ID, ( SELECT var FROM test WHERE id =1 ) ) AS tm) >0

这样，您就可以管理一个简单的n2m数据库关系，而不需要额外的表，并且只使用SQL，而不需要使用PHP或其他编程语言。

对于带有转义函数的MySQLi:

$ids = array_map(function($a) use($mysqli) { 
    return is_string($a) ? "'".$mysqli->real_escape_string($a)."'" : $a;
  }, $ids);
$ids = join(',', $ids);  
$result = $mysqli->query("SELECT * FROM galleries WHERE id IN ($ids)");

对于带准备语句的PDO:

$qmarks = implode(',', array_fill(0, count($ids), '?'));
$sth = $dbh->prepare("SELECT * FROM galleries WHERE id IN ($qmarks)");
$sth->execute($ids);

Use:

select id from galleries where id in (1, 2, 5);

一个简单的for每个循环将工作。

Flavius/AvatarKava的方法更好，但要确保数组值中没有逗号。