Así es como agrega parámetros a una declaración.
sql = "INSERT INTO my_table VALUES (%s, %s, %s);"
cursor.execute(sql, [string1, string2, string3])
Consulte MySQLCursor.execute()
.
En este ejemplo, no tiene que citar explícitamente los valores porque no los está pegando en su SQL. Además, esto es más seguro, porque si la cadena contiene una comilla final y algún SQL malicioso, no se ejecutará.
No puede agregar el nombre de la tabla como parámetro, por lo que si estuviera en una variable lo haría tienes que pegar eso en tu SQL:
sql = "INSERT INTO {} VALUES (%s, %s, %s);".format(table_name)
