La fuite est automatique, il vous suffit d'appeler :
cursor.execute("query with params %s %s", ("param1", "pa'ram2"))
(notez que l'opérateur % python n'est pas utilisé) et les valeurs seront correctement échappées.
Vous pouvez échapper manuellement une variable en utilisant extensions.adapt(var) , mais cela serait sujet aux erreurs et ne tiendrait pas compte de l'encodage de la connexion :ce n'est pas censé être utilisé dans le code client normal.
