Låt din fråga använda parametrar. Mycket mindre chans för injektion:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
kredit (och mer info) här:Hur använder man variabler i SQL-satsen i Python?
Dan Bracuk har också rätt - se till att du validerar dina parametrar innan du kör SQL om du inte redan gör det