Boa, o importante é ir ajustando.

Quando você trabalha com APIs que fornecem dados publicos, o ideal é trabalhar com autenticação. JWT é umas das formas pelas quais consegue adicionar uma camada de proteção em sua api, permitindo que o cliente só tenha acesso a ela após se autenticar pelo endpoint de login, obter o token criptografado e consumir os endpoints protegidos utilizando o mesmo na Header das requisições.

É simples de usar.

Outras situações importantes é proteger sua api de injection, e isso pode ser feito, inicialmente, por prepared statements, principalmente se estiver usando SQL Raw. E isso seria só o começo, pois existem muitas outras técnicas importantes quando a segurança de dados que devm ser observadas.