Le altre risposte, usando la concatenazione, sono quelle semplici. La cosa migliore è utilizzare istruzioni preparate, che renderanno il tuo codice molto più sicuro.
$insert = "INSERT INTO " .$new_table. " VALUES(?, ?, ?)";
$q = mysqli_prepare($db, $insert);
mysqli_stmt_bind_param($q, "iss", $ID, $Partner, $Merchant);
mysqli_stmt_execute($q);
L'esecuzione di query parametrizzate significa che la query ei dati vengono inviati separatamente. Ciò significa che la struttura della query esiste già e quindi non può essere modificata da nient'altro inserito nei dati, il che significa che sei al sicuro da SQL injection.
Vedi il manuale PHP:
