无法参数化诸如表或数据库名称之类的标识符，因此唯一可能的方法是执行一些检查，确保名称是安全的，然后使用字符串连接。你知道吗

根据MySQL documentation，引用的标识符可以包含从U+0001到U+FFFF的任何Unicode字符。不允许使用NUL字符和U+10000以后的补充字符，因此您需要在任何给定名称中检查它们，如果发现任何异常，则引发异常。如果名称本身包含反勾号，则必须通过加倍对其进行转义。（或者，如果标识符包含任何反记号，则可以选择引发异常。）

此外，标识符不能为空，尽管我很难看到MySQL文档指出了这一点。你知道吗

因此，一个合适的清除标识符的函数可以如下所示（我将由您填写详细信息）：

def sanitise_identifier(name):
    # raise exception if name is empty or not a string
    # raise exception if name contains NUL chars
    # raise exception if name contains Unicode supplementary characters (U+10000 onwards)
    return name.replace("`", "``")

那么你可以这样使用它：

c.execute("CREATE DATABASE `{}`;".format(sanitise_identifier(dbname)))