É assim que você adiciona parâmetros a uma instrução.
sql = "INSERT INTO my_table VALUES (%s, %s, %s);"
cursor.execute(sql, [string1, string2, string3])
Veja
MySQLCursor.execute()
. Neste exemplo, você não precisa citar explicitamente os valores porque não os está colando em seu SQL. Além disso, isso é mais seguro, pois se a string contiver uma aspa final e algum SQL malicioso, ela não será executada.
Você não pode adicionar o nome da tabela como um parâmetro, então se isso estivesse em uma variável você faria tem que colar isso em seu SQL:
sql = "INSERT INTO {} VALUES (%s, %s, %s);".format(table_name)
