Hey, sorry to hear you're stuck with this Google security alert—those URL injection warnings can be super frustrating when you've already checked your code and found no obvious issues. Let's walk through actionable steps to get this sorted:

1. 先搞清楚这些乱码请求的本质 #

• 首先去查你的服务器访问日志，看看这些带乱码的请求是来自哪里：是批量的爬虫/扫描器IP，还是真实用户？绝大多数情况下，这类乱码是自动化扫描工具在测试你的站点是否存在路径遍历或注入漏洞，不一定意味着你的站点已经被入侵。
• 同时确认这些请求的响应内容：是返回正常的index.php页面，还是错误页面、敏感信息？如果只是返回正常内容，Google很可能是把扫描行为误判成了注入风险。

2. 拦截无效的URL路径 #

你的问题里，乱码是加在index.php后面的路径（比如index.php/tmo7kx9vo-...），这是因为服务器默认允许在PHP文件后附加额外路径。我们可以通过服务器配置拦截这类请求：

Apache（用.htaccess） #

添加规则，要么重定向到正常的index.php，要么直接返回404：

RewriteEngine On
# 重定向到正常的index.php（推荐，避免用户看到404）
RewriteRule ^index\.php/.+$ /index.php [R=301,L]

# 或者直接返回404（适合确定是恶意扫描的情况）
# RewriteRule ^index\.php/.+$ - [R=404,L]

Nginx #

在server块里添加location规则：

location ~ ^/index\.php/.+$ {
    # 重定向到正常路径
    return 301 /index.php;
    # 或者返回404
    # return 404;
}

3. 二次验证站点是否存在隐藏风险 #

虽然你说index.php没有表单，但还是要检查：

• 是否有使用$_SERVER['PATH_INFO']、$_SERVER['REQUEST_URI']这类变量？如果你的代码里直接输出或处理这些变量而没有过滤，哪怕没有表单，也可能存在反射型XSS或路径相关的风险，需要对这类变量做转义/过滤处理。
• 用开源安全扫描工具（比如OWASP ZAP）自己扫一遍站点，自动化工具可能会发现你人工忽略的细节。

4. 向Google提交申诉（如果确认是误判） #

如果你已经排查完所有漏洞，并且拦截了无效请求，可以去Google Search Console找到对应的安全警告，提交申诉：说明你已经完成的检查和修复步骤，请求Google重新审核你的站点，一般1-3天会有结果。

内容的提问来源于stack exchange，提问作者Lhen