你的问题出在用参数化查询来处理SQL标识符（表名）上。Python的DBAPI（包括MariaDB的驱动）里的%s占位符只适用于SQL语句中的值，而像表名、列名这种属于SQL结构的标识符，是不能用参数化来替换的。

从报错信息就能看出来：near ''USA' (avg_time,max_time) VALUES ('6.997','7.071')'，这里的表名USA被自动加上了单引号，变成了'USA'——但SQL语法里，表名是不能用单引号包裹的，这直接导致了语法错误。

要解决这个问题，你需要把表名的处理和值的参数化分开：

1. 先确保表名安全：直接拼接表名到SQL里有SQL注入风险，所以一定要先验证表名的合法性，比如用白名单限制允许的表名。
2. 用字符串格式化处理表名，然后对值继续用参数化查询（这部分是安全的）。

示例代码如下：

# 第一步：验证表名是否在允许的列表中（防止SQL注入）
allowed_tables = ["USA", "EU", "Asia"]  # 根据你的实际情况调整
if SOURCE not in allowed_tables:
    raise ValueError(f"不允许的表名：{SOURCE}")

# 第二步：格式化表名，参数化处理值
cursor.execute(f"INSERT INTO `{SOURCE}` (avg_time, max_time) VALUES (%s, %s)", (reav, remax))

这里用反引号`包裹表名，是为了兼容表名包含特殊字符或者和SQL关键字重名的情况，让语句更健壮。

参数化查询的核心是数据库先编译SQL模板，再把值作为绑定变量传入，这样既能防止SQL注入，又能提升重复执行的效率。但表名属于SQL的结构部分，必须在编译阶段就确定，所以无法用绑定变量来替换，只能提前拼接好。

内容的提问来源于stack exchange，提问作者Djchilders