链接的文档给出了以下示例：

cursor.execute ("""
         UPDATE animal SET name = %s
         WHERE name = %s
       """, ("snake", "turtle"))
   print "Number of rows updated: %d" % cursor.rowcount

因此，您只需根据自己的代码调整它—例如：

cursor.execute ("""
            INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)
            VALUES
                (%s, %s, %s, %s, %s, %s)

        """, (var1, var2, var3, var4, var5, var6))

（如果songlength是数字，您可能需要使用%d而不是%s）。

这是另一种方法。在mysql官方网站上有记录。https://dev.mysql.com/doc/connector-python/en/connector-python-api-mysqlcursor-execute.html
在精神上，它使用了@trey stout的答案的相同机制。不过，我觉得这个更漂亮，更可读。

insert_stmt = (
  "INSERT INTO employees (emp_no, first_name, last_name, hire_date) "
  "VALUES (%s, %s, %s, %s)"
)
data = (2, 'Jane', 'Doe', datetime.date(2012, 3, 23))
cursor.execute(insert_stmt, data)

为了更好地说明变量的必要性：
注意正在做的越狱。

employee_id = 2
first_name = "Jane"
last_name = "Doe"

insert_stmt = (
  "INSERT INTO employees (emp_no, first_name, last_name, hire_date) "
  "VALUES (%s, %s, %s, %s)"
)
data = (employee_id, conn.escape_string(first_name), conn.escape_string(last_name), datetime.date(2012, 3, 23))
cursor.execute(insert_stmt, data)

注意不要对sql查询使用字符串插值，因为它不会正确地转义输入参数，并且会使应用程序对sql注入漏洞开放。这种差别看似微不足道，但实际上却是巨大的。

不正确（有安全问题）

c.execute("SELECT * FROM foo WHERE bar = %s AND baz = %s" % (param1, param2))

正确（带转义）

c.execute("SELECT * FROM foo WHERE bar = %s AND baz = %s", (param1, param2))

在sql语句中用于绑定参数的修饰符在不同的dbapi实现之间以及mysql客户机库使用的修饰符之间存在差异，这增加了混淆 printf 样式语法，而不是更普遍接受的“？”标记（例如。 python-sqlite ).

你有几个选择。您需要熟悉python的string iterporation。这是一个术语，你可能会有更成功的搜索在未来当你想知道这样的东西。
更适合查询：

some_dictionary_with_the_data = {
    'name': 'awesome song',
    'artist': 'some band',
    etc...
}
cursor.execute ("""
            INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)
            VALUES
                (%(name)s, %(artist)s, %(album)s, %(genre)s, %(length)s, %(location)s)

        """, some_dictionary_with_the_data)

考虑到您的所有数据可能已经存在于对象或字典中，第二种格式更适合您。而且，当您必须在一年内回来更新此方法时，在字符串中计算“%s”的出现次数也很糟糕：）

作为所选答案的另一种选择，使用与marcel相同的安全语义，这里提供了一种使用python字典指定值的简洁方法。它的优点是在添加或删除要插入的列时易于修改：

meta_cols=('SongName','SongArtist','SongAlbum','SongGenre')
  insert='insert into Songs ({0}) values ({1})'.
        .format(','.join(meta_cols), ','.join( ['%s']*len(meta_cols) ))
  args = [ meta[i] for i in meta_cols ]
  cursor=db.cursor()
  cursor.execute(insert,args)
  db.commit()

其中meta是保存要插入的值的字典。更新的方法相同：

meta_cols=('SongName','SongArtist','SongAlbum','SongGenre')
  update='update Songs set {0} where id=%s'.
        .format(','.join([ '{0}=%s'.format(c) for c in meta_cols ]))
  args = [ meta[i] for i in meta_cols ]
  args.append( songid )
  cursor=db.cursor()
  cursor.execute(update,args)
  db.commit()

第一种解决方案效果很好。我想在这里补充一个小细节。确保您尝试替换/更新的变量必须是str类型。我的mysql类型是decimal，但我必须将参数变量设置为str才能执行查询。

temp = "100"
myCursor.execute("UPDATE testDB.UPS SET netAmount = %s WHERE auditSysNum = '42452'",(temp,))
myCursor.execute(var)

实际上，即使您的变量（songlength）是数字，为了正确绑定参数，您仍然需要用%s格式化它。如果尝试使用%d，则会出现错误。下面是这个链接的一个小摘录http://mysql-python.sourceforge.net/mysqldb.html:
要执行查询，首先需要一个游标，然后可以对其执行查询：

c=db.cursor()
max_price=5
c.execute("""SELECT spam, eggs, sausage FROM breakfast
          WHERE price < %s""", (max_price,))

在本例中，max\u price=5为什么在字符串中使用%s？因为mysqldb会将其转换为sql文本值，即字符串“5”。完成后，查询实际上会说“…where price<5”。