Това е една от причините, поради които трябва да използвате свързване на параметри вместо да форматирате параметрите в Python.
Просто направете това:
sql = 'UPGRADE inventory_server set server_mac = %s where server_name = %s'
След това:
cur.execute(sql, macs, host)
По този начин можете просто да се справите с низа като низ и да оставите библиотеката MySQL да разбере как да го цитира и избягва вместо вас.
На всичкото отгоре обикновено получавате по-добра производителност (защото MySQL може да компилира и кешира една заявка и да я използва повторно за различни стойности на параметри) и избягвате Атаки с инжектиране на SQL (един от най-често срещаните начини да бъдете хакнат).