En realidad el consejo que te da razpeitia no es solamente para Python sino para programación en general. Cualquier lenguaje puede ser vulnerable a Inyección de SQL (y otros tipos de fallos también) si utiliza consultas interpolando cadenas.

El problema en tu consulta original parece ser la falta de un espacio luego de "anio" y antes de "WHERE". Ante la duda lo mejor habría sido generar la cadena e imprimirla con "print" antes de hacer la consulta.

Recordá siempre hacer comprobación de errores en tus programas


Saludos.