阿门托马拉克对声明的评论。
但是，如果您不希望使用mysqli，可以始终使用intval（）来防止注入：

$ids  = array(2, 4, 6, 8);
for ($i = 0; $i < count($ids); $i++)
{
    mysql_query("UPDATE MyTable SET LastUpdated = GETDATE() WHERE id = " . intval($ids[$i]));
}

$values_filtered = array_filter('is_int', $values);
if (count($values_filtered) == count($values)) {
    $sql = 'update table set attrib = 'something' where someid in (' . implode(',', $values_filtered) . ');';
    //execute
} else {
    //do something
}

与几乎所有的“如何从php内部执行sql”问题一样，您确实应该使用准备好的语句。没那么难：

$ids  = array(2, 4, 6, 8);

// prepare an SQL statement with a single parameter placeholder
$sql  = "UPDATE MyTable SET LastUpdated = GETDATE() WHERE id = ?";
$stmt = $mysqli->prepare($sql);

// bind a different value to the placeholder with each execution
for ($i = 0; $i < count($ids); $i++)
{
    $stmt->bind_param("i", $ids[$i]);
    $stmt->execute();
    echo "Updated record ID: $id\n";
}

// done
$stmt->close();

或者，您可以这样做：

$ids    = array(2, 4, 6, 8);

// prepare an SQL statement with multiple parameter placeholders
$params = implode(",", array_fill(0, count($ids), "?"));
$sql    = "UPDATE MyTable SET LastUpdated = GETDATE() WHERE id IN ($params)";
$stmt   = $mysqli->prepare($sql);

// dynamic call of mysqli_stmt::bind_param                    hard-coded eqivalent
$types = str_repeat("i", count($ids));                        // "iiii"
$args = array_merge(array($types), $ids);                     // ["iiii", 2, 4, 6, 8]
call_user_func_array(array($stmt, 'bind_param'), ref($args)); // $stmt->bind_param("iiii", 2, 4, 6, 8)

// execute the query for all input values in one step
$stmt->execute();

// done
$stmt->close();
echo "Updated record IDs: " . implode("," $ids) ."\n";

// ----------------------------------------------------------------------------------
// helper function to turn an array of values into an array of value references
// necessary because mysqli_stmt::bind_param needs value refereces for no good reason
function ref($arr) {
    $refs = array();
    foreach ($arr as $key => $val) $refs[$key] = &$arr[$key];
    return $refs;
}

根据需要为其他字段添加更多参数占位符。
选哪一个？
第一个变量迭代地处理数量可变的记录，多次访问数据库。这对于更新和插入操作非常有用。
第二种变体也适用于数量可变的记录，但它只访问数据库一次。这比迭代方法更有效，显然您只能对所有受影响的记录执行相同的操作。这对于选择和删除操作非常有用，或者当您想用相同的数据更新多个记录时。
为什么要准备声明？
准备好的语句更安全，因为它们使sql注入攻击变得不可能。这是使用准备好的语句的主要原因，即使编写这些语句需要更多的工作。一个明智的习惯是：总是使用事先准备好的陈述，即使你认为这是“不必要的”。忽视会伤害你（或你的客户）。
使用不同的参数值多次重复使用同一条准备好的语句比向数据库发送多个完整的sql字符串更有效，因为数据库只需要编译一次语句，也可以重复使用它。
只有参数值被发送到上的数据库 execute() ，因此在重复使用时，需要传输的数据更少。
在较长的循环中，使用预处理语句和发送纯sql之间的执行时间差将变得明显。

使用“in”子句

可能就是你想要的

$ids = array(2,4,6,8);
$ids = implode($ids);
$sql="SELECT * FROM my_table WHERE id IN($ids);";
mysql_query($sql);

否则，你怎么了

$ids = array(2,4,6,8);
foreach($ids as $id) {
    $sql="SELECT * FROM my_table WHERE ID = $id;";
    mysql_query($sql);
}

您可以像下面这样做，但是您需要非常小心，数组只包含整数，否则可能会导致sql注入。
如果可以的话，你真的不想做多个查询来获取内容。像这样的事情可能就是你想要的。

foreach ($array as $key = $var) {
   if ((int) $var <= 0) {
       unset($array[$key]);
   }
}

$query = "SELECT * 
from content 
WHERE contentid IN ('".implode("','", $array)."')";

$result = mysql_query($query);