hai 2 soluzioni

o lo parserizzi e lo elimini scrivendo che l'utente non lo può usare

oppure fai un ciclo su tutti i carattari con explode e metti un una barra se inclinata se incontra un &. Questo che mi ricordi è il metodo più sicuro

un'altro modo per rendere quel carattere un testo è usare

questa funzione

http://it2.php.net/manual/it/functio...ecialchars.php

praticamente trasforma quel carattere in semplice html e non ti fa casino nella querystring

la miscela del 2° e del 3° metodo è la migliore secondo me... ma già l'ultimo ti garantisce un certo grado funzionale