連結を使用した他の答えは、単純なものです。最善の方法は、プリペアドステートメントを使用することです。これにより、コードの安全性が大幅に向上します。
$insert = "INSERT INTO " .$new_table. " VALUES(?, ?, ?)";
$q = mysqli_prepare($db, $insert);
mysqli_stmt_bind_param($q, "iss", $ID, $Partner, $Merchant);
mysqli_stmt_execute($q);
パラメータ化されたクエリを実行するということは、クエリとデータが別々に送信されることを意味します。これは、クエリの構造がすでに存在しているため、データに挿入された他のものによって変更できないことを意味します。つまり、SQLインジェクションから安全です。
PHPマニュアルを参照してください: