我正在编写一个小python脚本来帮助我自动为个人项目创建mysql数据库和相关帐户。该脚本的一部分是一个函数，该函数将数据库名称作为字符串，然后创建数据库。

def createDB(dbConn, dbName):
    import MySQLdb
    c = dbConn.cursor()
    query = """CREATE DATABASE %s;""";
    c.execute(query, (dbName,))

这是行不通的，因为MySQL的CREATE
DATABASE
要求提供数据库的未引用名称，例如

  CREATE DATAbASE test_db

但是我试图安全地将用户提供的数据库名称插入查询中的代码创建了：

  CREATE DATABASE 'test_db'

您会得到“您的MySQL语法在即将测试时遇到问题”。

即使这是供个人使用，我也确实不想直接将用户提供的字符串直接插入任何类型的查询中。它违反了我的宗教信仰。有没有一种安全的方法可以将用户提供的数据库名称插入python（或任何语言）的mySQL查询中，以确保诸如的用户输入test_db; DROP some_other_db;将被正确拒绝或转义？