Få din forespørgsel til at bruge parametre. Meget mindre chance for injektion:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
kredit (og mere info) her:Hvordan bruges variabler i SQL-sætning i Python?
Dan Bracuk har også ret - sørg for at validere dine parametre, før du udfører SQL'en, hvis du ikke allerede er det