Laat uw query gebruik maken van parameters. Veel minder kans op injectie:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
krediet (en meer info) hier:Hoe variabelen te gebruiken in SQL-statement in Python?
Dan Bracuk heeft ook gelijk - zorg ervoor dat je je parameters valideert voordat je de SQL uitvoert als je dat nog niet bent