「どう生成するか」という以前に、$_POST変数をそのままSQL文に組み立てるようなことはしてはいけません。SQLインジェクションの原因となります。

PDOなので、予めprepareしてからexecuteで値をはめ込みましょう。

$stmt = $pdo->prepare('INSERT INTO product(
    data_no,
    data_size,
    data_num
    )VALUES(?, ?, ?)');

$stmt->execute([$_POST['data_no'], $_POST['data_size'], $_POST['data_num']]);

クオートについての回答は既に出ているようなので、別の方法の提示を。

SQL文をそのまま使うとエスケープ等も面倒になりますし、プリペアードステートメントを使うと良いかと思います。

PHP
1$sth = $dbh->prepare('INSERT INTO product(
2    data_no,
3    data_size,
4    data_num
5    )VALUES(
6    ?,
7    ?,
8    ?)'
9    :data_no,
10    $_POST['data_size'],
11    $_POST['data_num']
12    )');
13    $sth->execute(array('data_no' => $_POST['data_no'], '));

無理せず分けるのはどうでしょうか。一旦sprintfで落とすと。

php
1$sql = sprintf("INSERT INTO product(
2    data_no,
3    data_size,
4    data_num
5    )VALUES(
6    %s,%s,%s)",
7    $_POST['data_no'],
8    $_POST['data_size'],
9    $_POST['data_num']
10    );
11
12$stmt = $pdo->query($sql);
13

シングルで囲むと変数は展開されません。
なので次のように分割して結合することになるのでは。

PHP
1$stmt = $pdo->query('INSERT INTO product(
2    data_no,
3    data_size,
4    data_num
5    )VALUES(' .
6    $_POST['data_no'] . "," 
7    $_POST['data_size'] . "," 
8    $_POST['data_num'] .
9    ')'
10);

SQLでは文字列中のシングルクォーティーションはシングルクォーティーションを2つ続けて書きます。