Nastavte svůj dotaz pomocí parametrů. Mnohem menší šance na injekci:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
kredit (a další informace) zde:Jak používat proměnné v příkazu SQL v Pythonu?
Dan Bracuk má také pravdu – ujistěte se, že jste před spuštěním SQL ověřili své parametry, pokud ještě nemáte