Col. Shrapnel的SafeMySQL PHP库在其参数化查询中提供了类型提示占位符，并包括了两个用于处理数组的方便占位符。?a占位符将数组展开为逗号分隔的转义字符串列表*。

例如:

$someArray = [1, 2, 5];
$galleries = $db->getAll("SELECT * FROM galleries WHERE id IN (?a)", $someArray);

*请注意，由于MySQL执行自动类型强制，SafeMySQL将上面的id转换为字符串并不重要-您仍然会得到正确的结果。

如果正确筛选输入数组，我们可以使用这个"WHERE id IN"子句。就像这样:

$galleries = array();

foreach ($_REQUEST['gallery_id'] as $key => $val) {
    $galleries[$key] = filter_var($val, FILTER_SANITIZE_NUMBER_INT);
}

如下面的例子所示:

$galleryIds = implode(',', $galleries);

也就是说，现在你应该安全地使用$query = "SELECT * FROM galleries WHERE id IN ({$galleryIds})";

正如Flavius Stef的回答，你可以使用intval()来确保所有id都是int值:

$ids = join(',', array_map('intval', $galleries));  
$sql = "SELECT * FROM galleries WHERE id IN ($ids)";

对于带有转义函数的MySQLi:

$ids = array_map(function($a) use($mysqli) { 
    return is_string($a) ? "'".$mysqli->real_escape_string($a)."'" : $a;
  }, $ids);
$ids = join(',', $ids);  
$result = $mysqli->query("SELECT * FROM galleries WHERE id IN ($ids)");

对于带准备语句的PDO:

$qmarks = implode(',', array_fill(0, count($ids), '?'));
$sth = $dbh->prepare("SELECT * FROM galleries WHERE id IN ($qmarks)");
$sth->execute($ids);

你可能有表文本(T_ID (int)， T_TEXT (text))和表测试(id (int)， var (varchar(255)))

insert into test values (1， '1,2,3');下面将从T_ID IN(1,2,3)的表文本中输出行:

SELECT * FROM `texts` WHERE (SELECT FIND_IN_SET( T_ID, ( SELECT var FROM test WHERE id =1 ) ) AS tm) >0

这样，您就可以管理一个简单的n2m数据库关系，而不需要额外的表，并且只使用SQL，而不需要使用PHP或其他编程语言。

假设你事先正确地清理了你的输入……

$matches = implode(',', $galleries);

然后调整你的查询:

SELECT *
FROM galleries
WHERE id IN ( $matches ) 

根据数据集适当地引用值。