Накарайте вашата заявка да използва параметри. Много по-малък шанс за инжектиране:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
кредит (и повече информация) тук:Как да използвам променливи в SQL израз в Python?
Също така, Дан Брачук е прав - уверете се, че сте валидирали вашите параметри, преди да изпълните SQL, ако все още не сте