Используйте второй параметр args для передачи аргументов; не убегай сам. Это не только проще, но и помогает предотвратить атаки с использованием SQL-инъекций.
cursor.execute(sql,args)
например,
cursor.execute('INSERT INTO foo VALUES (?, ?)', ("It's okay", "No escaping necessary")