Haz que tu consulta utilice parámetros. Mucho menos posibilidades de inyección:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
crédito (y más información) aquí:¿Cómo usar variables en declaraciones SQL en Python?
Además, Dan Bracuk tiene razón:asegúrese de validar sus parámetros antes de ejecutar el SQL si aún no lo ha hecho
