Nesse where, quando passado uma array, ele explode e constrói as condições da query 😮
Olha a query resultante em um cenário legítimo vs ataque