Так не делают. Делают так. Берут текст, превращают его в данные, затем из данных делают валидный для текущего контекста текст.

Это значит

$params = preg_replace('/\s+/', '', $params); // удалили все пробелы
$arr = explode(',' $params); // превратили массив символов в суб-массивы токенов
$arr = array_filter($arr); // удалили все false значения, например пустые ''
$arr = array_unique($arr); // оставили только уникальные токены

// Готово. Теперь в $arr нормальные значения которые можно юзать. Для where in() потребуется

$wherein = 'WHERE IN ( . join(',', $arr) . ')';

Вполне понятно теперь можно обойтись без шаманского вереина. Наделать столько запросов, сколько пришло элементов в $arr и закинуть их в мультиквери.

Или как-то еще использовать. Потому что данные нормальны.

Забыл оформить. И подразумевается что параметры уже получены в строке из URI. Из которой делаются токены по той же схеме

$router = explode('/', $uri);

Опять забыл оформить. Так передаются данные в корзину? А по сессии она не наполняется что ли?

Сам подход подозрителен. Неизвестно заранее сколько будет OR. Пять, 10, или over9000.

Чтобы понять как правильно надо посмотреть вперед. Что придется делать с этим набором? Допустим записать в заказ. Таблица заказов: order_id, item_id, amount, comment. Следовательно имеем типичный инсерт инто values(),(),()... и последующую выборку по одному order_id. Или по user_name применительно к поставленной задаче.