Como los otros han dicho aquí, no hay mucho que puedas hacer para evitar que un hacker lo obtenga una vez que esté en el servidor. Si su código puede leerlo, ellos pueden leerlo.
Dicho esto, su principal preocupación debe ser asegurarse de que alguien que no tenga acceso a la raíz no pueda obtenerlo, y una buena manera de hacerlo es colocarlo en algún lugar fuera de su código. Si su servidor PHP falla, no desea que una fuga de código fuente muestre contraseñas o claves.
Pocas ideas sobre dónde guardar su clave:
- Cómo conseguir trabajo en el campo .net
- ¿Cuál es la mejor certificación de análisis web (más creíble y completa)?
- ¿Cuál es la mejor manera de solicitar una URL pero no seguir los redireccionamientos?
- ¿A quién puedo contactar para obtener los mejores servicios de desarrollo de Laravel?
- ¿Cuáles son las posibilidades de JavaScript?
- En un archivo (fuera de la raíz web legible) y léalo a través de PHP.
- Establezca una variable de entorno a través de su servidor web y acceda a través de $ _SERVER a través de PHP.
- En una base de datos.
No estoy seguro de que ninguno de ellos sea mejor que los demás, pero puedes elegir.
También debe asegurarse de tomar medidas estándar para garantizar que sus servidores estén seguros. Cosas como deshabilitar los inicios de sesión raíz, forzar inicios de sesión de clave pública / privada y restringir el acceso al puerto 22 son excelentes maneras de comenzar.