As outras respostas, usando concatenação, são as simples. O melhor é usar declarações preparadas, que tornarão seu código significativamente mais seguro.
$insert = "INSERT INTO " .$new_table. " VALUES(?, ?, ?)";
$q = mysqli_prepare($db, $insert);
mysqli_stmt_bind_param($q, "iss", $ID, $Partner, $Merchant);
mysqli_stmt_execute($q);
Fazer consultas parametrizadas significa que sua consulta e os dados são enviados separadamente. Isso significa que a estrutura da consulta já existe e, portanto, não pode ser alterada por mais nada inserido nos dados, o que significa que você está protegido contra injeção de SQL.
Veja o manual do PHP:
