Moin,

// in Datenbank schreiben
$db->send(
  // SQL
sprintf(
	'INSERT INTO %s ('
	. 'v2, v3, v4'
	. ') VALUES ('
	. '\'%s\', \'%s\', %f'
	. ')',
	:v1,
	:v2,
	:v3,
	:v4,,
  
// Parameter für SQL-Platzhalter
  array(
    ':v2' => 'string',
    ':v3' => quote($_POST['v2']),  //??
    ':v4' => microtime(true),
  )
));

ich habe bisher keinen Schimmer von der PDO-Schnittstelle, aber das kann nicht richtig sein. Weder der Doppelpunkt vor einigen Argumenten, noch ein doppeltes Komma in der Parameterliste. Das ergibt einen PHP-Syntaxfehler.
Und ein Array einfach so in einen String-Kontext auszugeben, produziert nur den Text "array", aber nicht die darin enthaltenen Werte.

Umgekehrt, das was ich aus der Datenbank zurückbekommen mit get() escape ich weiterhin mit htmlspecialchars() bzw htmlentities().

Natürlich (und bevorzugt ersteres). Damit hat die Datenbank ja nichts zu tun.

So long,
 Martin