Bien, pero vamos a ver. Con cualquier programa tipo "Download Accelerator" incluyes la dirección donde se encuentra ese PHP (por ejemplo: http://www.cualquierpagina.com/miarchivo.php) y te bajas el PHP tranquilamente, y esa dirección la tienes dentro del archivo .htm. Con lo cual, sabiendo donde está ese PHP (en qué dirección) puedes hacerte con él perfectamente, y teniendo el archivo tienes las claves.

Tal vez ahora me haya explicado algo mejor. Entonces, si cualquier usuario va a tener las claves fácilmente, ¿no hay una manera segura de no ponerlas en el archivo PHP? O ocultarlas, o encriptarlas, eso ya no lo sé....

Gracias por contestar.