pymssql и заполнители

Какие заполнители можно использовать с pymssql. Я получаю свои значения из строки запроса html, поэтому все они имеют строковый тип. Безопасно ли это в отношении SQL-инъекций?

query = dictify_querystring(Response.QueryString)
employeedata = conn.execute_row("SELECT * FROM employees WHERE company_id=%s and name = %s", (query["id"], query["name"]))  

Что механизм используется в этом случае, чтобы избежать инъекций?

Не так много документации для pymssql...

Возможно, есть лучший модуль python, который я мог бы использовать для взаимодействия с Sql Server 2005.

Спасибо,

Барри