Muhtemelen veritabanına kaydettiğiniz api key'i php dosyasında veri olarak çekip kullanıyorsunuz bu durumda kişi incele vs gibi işlemlerle doğrudan erişemez. Sql injection gibi işlemler ile sızmayı başarabilirse ancak o şekilde erişebilir