Non farlo. Quali campi accettare da un form e' una cosa che devi decidere tu, non chi invia il form. Se un client manomette il form e aggiunge altri campi? Bene che va creerai una query non valida, ma potrebbe anche andarti peggio e finire con una query sintatticamente valida che pero' non fa quello che vuoi tu.

Edit dopo il tuo edit: se l'array lo costruisci specificando tu manualmente le chiavi, allora va bene.