Les autres réponses, utilisant la concaténation, sont les plus simples. Le mieux est d'utiliser des instructions préparées, ce qui rendra votre code beaucoup plus sûr.
$insert = "INSERT INTO " .$new_table. " VALUES(?, ?, ?)";
$q = mysqli_prepare($db, $insert);
mysqli_stmt_bind_param($q, "iss", $ID, $Partner, $Merchant);
mysqli_stmt_execute($q);
Faire des requêtes paramétrées signifie que votre requête et les données sont envoyées séparément. Cela signifie que la structure de la requête existe déjà et ne peut donc pas être modifiée par quoi que ce soit d'autre inséré dans les données, ce qui signifie que vous êtes à l'abri de l'injection SQL.
Voir le manuel PHP :