Я при передаче от клиента (приложения) данных в код php через GET делал так, создал свой уникальный ключ (любой набор символов и знаков, куча всего), он так же передается на сервер в GET запросе, а в PHP коде внутри идет проверка если значение ключа из GET совпадает с заданным в PHP файле, то только тогда GET запрос пропускать.
Соответственно извне тебе левый GET запрос не передадут не зная ключа твоего. Но это все равно не надежно, GET запросы могут перехватывать. Что уж говорить про браузер, где все это видно прямо в адресной строке. Тут уж лучше закрытыми данными передавать
