gibt es ne möglichkeit den befehl direkt aufzurufen und dem server klarzumachen, dass der rest der kommt nur parameter ist sprich dass er z.B.';' nicht zulässt, da dies kein gültiger parameter ist?

Nein - aber du kannst (solltest wirklich dringen in deinem eigenen interesse) exec() indirekt ausführen

momentan filtere ich das in dem ich die parametereingabe nach ungewünschten zeichen filtere  (;, &, >, <, ..) aber da muss es doch was schöneres geben?

Filtern nicht - aber escapen, wenn dir das etwas hilft.

Oder du lässt die eigentliche funktion mit einer dropdown-liste auswählen und die parameter können dann in einem textfeld daneben eingegeben werden. dann noch einfach jedes ; entfernen, was bei den Parametern eingefügt wird, fertig.