我了解在Python中格式化sql查询的正确方法是这样的：

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3)

这样可以防止sql注入。我的问题是是否有办法将查询放入变量然后执行？我已经尝试了下面的示例，但收到错误。是否有可能做到这一点？

sql="INSERT INTO table VALUES (%s, %s, %s)", var1, var2, var3

cursor.execute(sql)