Faites en sorte que votre requête utilise des paramètres. Beaucoup moins de chance d'injection :
cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))
crédit (et plus d'informations) ici :Comment utiliser des variables dans une instruction SQL en Python ?
De plus, Dan Bracuk a raison - assurez-vous de valider vos paramètres avant d'exécuter le SQL si vous ne l'êtes pas déjà