A mi me an funcionado de dos maneras:
Código PHP:
$query = $connection->prepare("INSERT INTO user (username) VALUES (:user)");
$query->execute(array(':user' => $_POST['user']));
Código PHP:
$connection->exec("INSERT INTO user(username) VALUES ( ".$connection->quote('PDO '.$_POST['user']).")");
¿Tu cual sueles utilizar? Yo esque lo que he visto siempre a sido la 1 opcion, pero en php dice:
PDO::quote() entrecomilla el string de entrada (si fuera necesario) y escapa los caracteres especiales contenidos en dicho string, usando un estilo de entrecomillado apropiado para el controlador subyacente.
Si se usa esta función para construir sentencias SQL, se recomienda encarecidamente usar PDO::prepare() para preparar sentencias SQL con los parámetros vinculados en vez de usar PDO::quote() para interpolar entradas del usuario en una consulta SQ
Entonces en mi opinion la mejor forma es la primera.