Предполагам, че използвате Apache.
Поставете секретните данни в променлива на средата в /etc/apache2/envvars
, задайте собственика на root и разрешенията на 400.
Нападател ще трябва да компрометира сървъра, за да постави ръцете си върху вашия ключ.
Можете също така да приготвите скрипт, който иска тайната при стартиране на Apache (досадно, но дори по-сигурно).
Имайте предвид, че хората с root достъп винаги да можете да получите своя ключ и да се опитвате да го скриете от тях е просто плацебо.
Плацебо разтвор:
- Направете приложението си неактивно по подразбиране, докато ПУБЛИКУВАТЕ ключа си към HTTPS страница в същото приложение, запазете ключа си в глобална променлива и продължете с бизнеса си. Трябва да вземете предвид жизнения цикъл на PHP процеса (когато процесът приключи, трябва да изпратите отново своя ключ).