Hallo yo.

wie kann ich eine solche Filterung vornehmen?
reicht es für die felder ein String zu nehmen, welcher Zeichen sollte ich auf jeden Fall ausschließen ?

Es gibt dazu im PHP-Handbuch ein ganzes Kapitel. Das hiesige Archiv hat auch noch einiges an Information dazu.

Wie nennt man solche Attacken?

„SQL Injection“, siehe oben.

Das mit dem & hat so schon mal funktioniert, aber wie auch immer ..
wie sollte ich es dann schreiben ? and ist das gleiche oder..?

Nein, das logische AND ist nicht das gleiche wie das bitweise &. Du meintest sicher das logische &&.

Einen schönen Samstag noch.

Gruß, Mathias