Las otras respuestas, usando concatenación, son las simples. La mejor es utilizar sentencias preparadas, que harán que su código sea significativamente más seguro.
$insert = "INSERT INTO " .$new_table. " VALUES(?, ?, ?)";
$q = mysqli_prepare($db, $insert);
mysqli_stmt_bind_param($q, "iss", $ID, $Partner, $Merchant);
mysqli_stmt_execute($q);
Hacer consultas parametrizadas significa que tu consulta y los datos se envían por separado. Esto significa que la estructura de la consulta ya existe y, por lo tanto, no puede ser alterada por nada más insertado en los datos, lo que significa que está a salvo de la inyección SQL.
Consulte el manual de PHP:
