Você pode usar espaços reservados, nesse caso o driver mysql escapa da sua consulta:
cur.execute('UPDATE connections SET cmd=%s, client_new=1 where ip=%s', (command, ip))
cur.execute('UPDATE connections SET cmd=%s, client_new=1 where ip=%s', (command, ip))
