データベース アダプターは、「値」以外 (引用符が必要なもの) のパラメーターの使用をほとんどサポートしていません。文字列の書式設定を使用するか (危険です。SQL インジェクションのリスクがあります)、Python コードを使用して有効な SQL を生成できる SQLAlchemy のようなライブラリを使用します。
値が適切であると確信している場合usertable(たとえば、既存のテーブル名のリストと照らし合わせてチェックした場合)、次のように動作します。
query = 'select * from some.{usertable}.userinfo'.format(usertable=usertable)
Oracle ではオブジェクト名をバインドできず、リテラルのみをバインドできます。dbms_assertただし、動的オブジェクト名を使用する際に SQL インジェクションを防ぐために、Oracle には組み込みのパッケージがあります。あなたのケースで最も便利な関数はおそらくsql_object_nameで、これは次のとおりです。
「... 入力パラメータ文字列が既存の SQL オブジェクトの修飾された SQL 識別子であることを確認します。」
たとえば、cx_Oracle で次のことを行うことができます。
object_name = cursor.callfunc('sys.dbms_assert.sql_object_name'
, cx_Oracle.string, ['usertable'])
名前が無効な場合は ORA-44002 が発生します。これは cx_Oracleで取得できます。または、Martijn が提案したようにすべてが問題ない場合は続行します。
SQL インジェクションを防ぐための Oracle のガイドを読むことをお勧めします。