正如Flavius Stef的回答，你可以使用intval()来确保所有id都是int值:

$ids = join(',', array_map('intval', $galleries));  
$sql = "SELECT * FROM galleries WHERE id IN ($ids)";

你可能有表文本(T_ID (int)， T_TEXT (text))和表测试(id (int)， var (varchar(255)))

insert into test values (1， '1,2,3');下面将从T_ID IN(1,2,3)的表文本中输出行:

SELECT * FROM `texts` WHERE (SELECT FIND_IN_SET( T_ID, ( SELECT var FROM test WHERE id =1 ) ) AS tm) >0

这样，您就可以管理一个简单的n2m数据库关系，而不需要额外的表，并且只使用SQL，而不需要使用PHP或其他编程语言。

Col. Shrapnel的SafeMySQL PHP库在其参数化查询中提供了类型提示占位符，并包括了两个用于处理数组的方便占位符。?a占位符将数组展开为逗号分隔的转义字符串列表*。

例如:

$someArray = [1, 2, 5];
$galleries = $db->getAll("SELECT * FROM galleries WHERE id IN (?a)", $someArray);

*请注意，由于MySQL执行自动类型强制，SafeMySQL将上面的id转换为字符串并不重要-您仍然会得到正确的结果。

所有交易所:

$query = "SELECT * FROM `$table` WHERE `$column` IN(".implode(',',$array).")";

字符串:

$query = "SELECT * FROM `$table` WHERE `$column` IN('".implode("','",$array)."')";

因为最初的问题涉及到一个数字数组，而我使用的是一个字符串数组，我无法使给定的例子工作。

我发现每个字符串都需要封装在单引号中才能使用in()函数。

这是我的解决方案

foreach($status as $status_a) {
        $status_sql[] = '\''.$status_a.'\'';
    }
    $status = implode(',',$status_sql);

$sql = mysql_query("SELECT * FROM table WHERE id IN ($status)");

正如您所看到的，第一个函数用单引号(\')包装每个数组变量，然后内爆数组。

注意:$status在SQL语句中没有单引号。

可能有更好的方式添加引号，但这是可行的。

下面是我使用的方法，对其他数据使用带有命名占位符的PDO。为了克服SQL注入，我过滤了数组，只接受整数的值，并拒绝所有其他的值。

$owner_id = 123;
$galleries = array(1,2,5,'abc');

$good_galleries = array_filter($chapter_arr, 'is_numeric');

$sql = "SELECT * FROM galleries WHERE owner=:OWNER_ID AND id IN ($good_galleries)";
$stmt = $dbh->prepare($sql);
$stmt->execute(array(
    "OWNER_ID" => $owner_id,
));

$data = $stmt->fetchAll(PDO::FETCH_ASSOC);