Dopo aver fatto user=replace(request.form(user), "'", " * ")

fai un response.write di user e dimmi cosa esce, se la variabile contiene ancora l'apice