O escape é automático, basta ligar:
cursor.execute("query with params %s %s", ("param1", "pa'ram2"))
(observe que o operador python % não usado) e os valores serão escapados corretamente.
Você pode escapar manualmente de uma variável usando
extensions.adapt(var)
, mas isso seria propenso a erros e não levaria em conta a codificação da conexão:não deveria ser usado no código cliente regular.