Me he dado cuenta de que Dropbox PHP SDK requiere que coloques tus credenciales de API en un archivo JSON que podría estar disponible públicamente si el código SDK se encuentra dentro del directorio DOCUMENT_ROOT. ¿Cuáles son las implicaciones de seguridad si un atacante las descubre?
... el Dropbox PHP SDK requiere que pongas tus credenciales de API en un Archivo JSON que podría estar disponible públicamente si se coloca el código SDK dentro del directorio DOCUMENT_ROOT.
Esto definitivamente no es cierto. Creo que algunas de las aplicaciones de ejemplo usan un archivo JSON cercano para almacenar varias credenciales por conveniencia, pero no hay nada en el SDK que requiera que hagas eso. (Puede almacenar el archivo JSON en otro lugar, y el constructor para AppInfo toma una clave y un secreto, por lo que puede administrarlos como desee).
Para la mayoría de las aplicaciones probablemente no sea un gran problema exponer el secreto de la aplicación, pero aun así desalentaría a los desarrolladores a hacerlo.
Para obtener más información, busque discusiones sobre la exposición de los secretos de los consumidores de OAuth. En particular, las aplicaciones móviles normalmente sí exponen esos secretos (al menos en OAuth 1), por lo que ha habido una gran cantidad de discusión sobre las implicaciones de seguridad.
Lea otras preguntas en las etiquetas appsec