これは、ステートメントにパラメーターを追加する方法です。
sql = "INSERT INTO my_table VALUES (%s, %s, %s);"
cursor.execute(sql, [string1, string2, string3])
この例では、SQLに値を接着していないため、値を明示的に引用する必要はありません。また、文字列に終了引用符が含まれていて、悪意のあるSQLが含まれている場合、文字列は実行されないため、これはより安全です。
テーブル名をパラメータとして追加することはできないため、それが変数に含まれている場合は、 それをSQLに接着する必要があります:
sql = "INSERT INTO {} VALUES (%s, %s, %s);".format(table_name)