1 - BLOB es mi preferencia porque codificarlo en base64 aumentará tanto el espacio como el tiempo de procesamiento (ya que también tendrá que decodificar base64 antes de descifrar)
2 - openssl_seal no le proporciona la clave que se utilizó para cifrar los datos. El propósito de env_keys es almacenar el formulario encriptado de la clave generada. Cuando llamas a openssl_open, le das esta clave de sobre y la clave privada que necesita para descifrar la llave del sobre. La clave privada debe coincidir con la clave pública que se utilizó para generar la clave del sobre.
3- Si su clave privada requiere una frase de contraseña, técnicamente sus datos son relativamente seguro. Incluso si tienen la clave del sobre y la clave privada, no podrán usarla... pero ¿qué tan segura es su contraseña? Una cosa a tener en cuenta es que puedes casi Nunca garantices un esquema completamente seguro, pero definitivamente puedes ponérselo difícil a los piratas informáticos. Usa tu imaginación aquí. Por cierto, ¿su frase de contraseña está en texto sin formato en su código?
