技術的な面ではLLmanさんのご回答をご確認頂ければと思います。

どこからでも参照できる公開環境にデータを配置した場合、適切に公開/非公開の制御を行っていたとしても、サーバの脆弱性をついた攻撃等により情報が流出するリスクはゼロにはならないかと思います。
脅しているわけではありませんが、程度の差はあれ、常に漏えい、流出の危険性は存在するということを認識されていた方がよいかと思います。

また、公衆への送信可能化権というものが著作権法上規定されており、これにより公開サーバに第3者の著作物を置くことは著作権侵害となる可能性があります。
現在の判例を詳しくは把握していないのですが、個人的な用途のために単純に配置するだけでも違法となるようです。
厳密に解釈するとクラウドストレージ等にmp3等を配置することもダメなのではないかと思います。
カラオケ法理というものが適用され、そのデータを配置している先の事業者が訴えられることもあります。
もちろん、本人が著作権を持つデータであればその制約はありませんので、質問者さん自身が撮影された写真等を配置することは問題ありません。
これが公開状態になっていると、ご心配されているようなわいせつ物頒布等の罪に該当する可能性も考えられます。

個人作のいかにも試作って感じのWebアプリって見たことがない

これは、質問者さんがされようとしているように非公開設定として運用を行っているために見える場所にはないように見えるということかと思います。
特定のユーザー向けにサービスを提供するということは一般的に行われているものです。
ユーザー数が多ければ、会員向けサービスとして提供されているものになります。
例えば、ニコニコ動画なども会員向けサービスなので、広くとらえれば非公開と言えるものになるかもしれません。

流出してまずいと感じる情報を、にわか知識でインターネット上にあげるのはやめたほうが良いです。

『気づけばプロ並みPHP 改訂版　ゼロから作れる人になる!』はここでも何度かサンプルコードを見ましたが、セキュリティを考慮した作りにはなっていないので、機密情報を取り扱うには不適切です。（副読本に徳丸さんが書いた記事があるようで、そちらを見ながらアンチパターンを学ぶことができるようですが、それでも機密情報が扱えるレベルでは無いです）

例えば、パスワード認証で情報を守るサーバをインターネット上に公開する場合、
・辞書攻撃に対しての対策
・不正アクセスを検知する仕組みの実装
あたりは必須となりますが、初学者が手を出すにはハードルが高いです。

個人的には、自宅とスマホを VPN で接続する仕組みを研究するほうが現実的だと思います。

それか、外部からは「閲覧」はさせずに「投稿」のみに絞るとか。

いずれにしても、流出してしまった場合のダメージが大きいものでいろいろチャレンジするのはリスキーすぎです。

大筋はLLmanさんの回答が素晴らしいので、具体的な方法論をいくつか回答します。

問1）

PHPでの認証はご認識の通りで問題ありません。
加えて、webサーバの機能としての認証（basic認証やdigest認証）をかけることをお勧めします。
PHP実行前に実施される認証なので、PHPプログラムの認証機能にバグや脆弱性があるケースにも対応出来ます。（出来ればHTTPSによる通信を行い、通信経路の暗号化も行うことをお勧めします）

問2）

Robots.txtでクローリングを拒否するか、
ログインページにたどり着く前にbasic/digest認証でクローラーを弾いてしまえば原理的にクロールが不可能になります。
自分以外が閲覧しない前提であれば、より根本的な部分でクローリングの可能性を排除出来る後者をお勧めします。

問3)

認証プログラムのバグ/脆弱性や、サーバ側の事故、通信経路での盗聴など、情報が流出する可能性は0には出来ませんし、その可能性は既存サービスを使って適切に設定した場合に比べるとも何桁かは大きいと思われる0ので、もし流出しても我慢できる程度には事前に情報を整理しておくことをお勧めします。

今回のケースだけで言えば法的なリスクは極めて小さいと思います。

問4）

LLmanさんの回答のケースを除けば、
しっかりと認証をかけた中で秘密の情報をやり取りすることがマナー違反になってしまうと、
あらゆる業務/プライベートな情報のやり取りについてインターネットの利用が出来なくなってしまうので、そのようなマナーは存在しないと思います。（マナー以前の違法行為は別です）

企業や個人でで開発中のwebアプリケーションを認証をかけた状態でインターネットに公開するというのはよくあることです。

Q1. あくまで私専用のアプリなので他の人には見られないようにするには、認証機能というものを付ければそれでいいのでしょうか？

はい、それで質問者さんの懸念事項は全て払拭出来ます。
有償でWebサイトをテスト攻撃してくれるホワイトハッカー的なサービスを行っている会社もありますので、怖いなら一度相談しにいっても良いかもしれませんね。
自分で勉強するならPHPサイバーテロの技法―攻撃と防御の実際という良書が存在しますので目を通しておくと良いかもしれません。

Q2. これをネット上に置くと、いつかグーグルマシンに見つかって、検索にひっかかってしまうようになるのでしょうか？

検索エンジンはそもそも認証機能の先まで強引に入ってこようとはしません。
従って日記アプリの内容が認証機能で守られている限り、勝手に解析されて公開されることはありません。

ただし、悪意の他人が貴方の日記アプリを見てやろうと何度も認証を試みる可能性はありますので、
同じIPの人が5回パスワードを間違えたらそのIPアドレスは弾くみたいな機能は盛り込んでおいても良いかもしれません。

Q3. こういう写真は、万が一を考えて、アプリをネットに上げる前に削除しておくべきでしょうか？パスワードをかけたダイエット日記アプリ内の、使用者本人の写真であってもワイセツ関係で違法とされるリスクはありますか？

まず、18歳未満の少女の画像が児童ポルノの単純所持でアウトです。
もし貴女が18歳未満の場合、下手すると貴方自身がしょっぴかれるかもしれません。

レンタルサイトの規約で18禁はダメだよと書いてある物が多いです。
その場合、例えリンクを張っていなかったとしても性器が写っている画像をアップした時点で一発アウト。
用途的に肌が多く写っている画像が多くなりそうなので、十分気をつけてください。

また、流出した画像が男性用のポルノ掲示板等でばら撒かれる可能性は存在します。
しかし女性としては最悪のケースとして「ケツ毛バーガー事件」を概要だけでも知っておいてください。
簡単に説明すると、とあるカップルがエッチしている最中の画像をパソコンに保存していました。
その画像がコンピュータウィルスによりネット上に拡散、女性側が写真からmixi(SNS)アカウントで特定され。mixiに住所や本名まで載せていた為にストーカー被害に遭ったという非常に痛ましい事件があります。

さて、質問者さんはダイエット日記をアップロードしようとしています。
日記の内容から何処で食事をしたか、勤務地はどのへん、どこのジムに通った、この日に◯◯公園に行った等の情報が割り出せるでしょう。
ダイエットが成功すると、首・顔・顎あたりもほっそりと美しくなるでしょう。
アップしたくなりますよね？本人を特定する有力な情報になりえます。

今日ではFacebookやTwitter等、何かしらのSNSなしでは考えられない程日常に食い込んでいますので、見る人が見ればあっという間に個人を特定されてしまうでしょう。
性別関係なく身近な所から人生が終わる可能性はありますので用心してくださいね。

1. あくまで一般論としてですが、自分個人しか使用しないアプリをネット上に公開（認証チェック機能をつけて中は見せないとしても）するというのは、マナーに反しますか？

非公開の情報もバンバンネット上にアップされているのでそこは気にしなくても構いません。
マナー的にもセーフです。企業の公開直前プロジェクトのテストサイトとかマナー違反だと怒られても困るでしょ？

ただし、レンタルサイトの規約の都合で「公開情報以外をアップロードしてはいけません」という縛りがある場合、アカウント停止を食らう可能性があります。
ブログの記事編集画面等は許される可能性は高いですが、
日記サイトを丸々認証でガードする用途なので、普通に考えてアウトでしょう。

VPSサーバーなどはLinuxマシンの知識が必要で少々上級者向けですが、
Web以外の様々な用途を目的としているので、非公開の設定で怒られる事はまずありません。
利用を検討しても良いかもしれませんね。