简单说一下
1.首先要理解为什么能防止sql注入：参数化查询，sql能重用查询计划（有助于提高性能）。而表名是不能参数化查询的
2.如果你用的sql模块的paramstyle不是'format', 'pyformat'，也就是你的sql 形式是"SELECT * FROM user_info WHERE email = ?" 之类的你会更好的理解代码为什么是这样的。
3.自定义表名的时候应该先拼接表名（因为表名是安全的），再参数化查询（用户输入条件不安全）。不建议转义或过滤特殊字符。 cursor.execute("SELECT * FROM %s WHERE email = ?" % user_info, youremail) 或者 cursor.execute("SELECT * FROM %s WHERE email = %%s" % user_info, youremail)