wenn Dich dieses rein kosmetische Problem stört, dann encodiere den kompletten Search-String z.B. nach Base64 und schon kann kein User mehr sehen, was da tatsächlich steht. Das Ergebnis könnte dann z.B. so aussehen:

index.php?YWN0PWRlbGV0ZSZpZD0yMQ==

Du müsstest halt prüfen, ob $_SERVER["QUERY_STRING"] irgendwie nach Base64 decodiert noch einen Sinn ergibt und dann immer dieses Ergebnis benutzen, anstatt den originalen Inhalt von $_GET...

Gehts dir heute nicht gut?

security-through-obscurity-FAIL