SQL cherche le parametre envoyé comme colonne

Bonjour,
sur un site internet, avec ce code, qui reçoit le formulaire d'inscription :

$user = ('SELECT * FROM users WHERE nom = ' . htmlspecialchars($_POST['nom']) . ';'); 
 $query = $BDD->query($user) or die(print_r("Erreur lors de la requête"));

si $_POST['nom'] contient "bidul", je reçoit comme sympathique erreur :

Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42S22]: Column not found: 1054 Unknown column 'bidul' in 'where clause

quelqu'un sait pourquoi SQL cherche la colonne qui a pour nom le contenu de $_POST['nom']?
si je met

$user = ('SELECT * FROM users WHERE nom = bidul;'); 

je n'ai plus l'erreur fatal.