Fai in modo che la tua query utilizzi parametri. Molto meno possibilità di iniezione:
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
credito (e ulteriori informazioni) qui:Come utilizzare le variabili nell'istruzione SQL in Python?
Inoltre, Dan Bracuk ha ragione:assicurati di convalidare i tuoi parametri prima di eseguire l'SQL se non lo sei già