Ya tienes una variable
$user, que proviene de sesión, pero, no la usas para enlazar el valor:
Código PHP:
Ver original$perfil->bindParam(':user', $_POST['user'],PDO::PARAM_STR);
Puedes usar esa variable o tomar el valor de sesión, pero creo que no vendrá en $_POST.