Что вы подразумеваете под "приложение созданное в dropbox" ?
Если это веб-приложение - то app_secret должен быть зашит в php коде, исполняться на сервере и клиенту быть соответственно не доступен.
PS
Т.к апи ходит в dropbox под учеткой клиента, утечка этих параметров в принципе ничем плохим не грозит. Ну разве что шаловливый пользователь воспользуется ими что бы имитировать поток запросов в dropbox от Вашего приложения и у Вас кончатся лимиты на запросы,- приложение сломается у всех сразу.