criptografia

[junior.vieira 16]

Fala galera iMaster, estou trabalhando com openssl_encrypt() e openssl_decrypt() pela primeira vez, gostaria de saber se o meu conceito, lógica e técnica estão corretos, tbm se essa forma de criptografia é segura.. agradeço a ajuda dos mestres. Abraços

Mycode:

if(isset($_REQUEST['submit'])){
	$user = antiInject($_REQUEST['user']);
	$pass = antiInject($_REQUEST['pass']);
	$domain = $_REQUEST['domain'];
	
	$login->loadController('rest');
	

if(isset($resp) or $resp->status == 'authorized'):
	$token = new Token();
	$token->setToken($resp, $user, $pass);
elseif($resp->status == 'failed'):
	echo 'Acesso não autorizado!';
else:
	echo 'Ocorreu um erro no sistema, response não obtido.<br>Contate o administrador.';
endif;

Class Token{
		
	private $encryption_key = 'xxxxxxxxxxxxxxxx';	
		
		
		
	function setToken($resp, $user, $pass){
		
		$session = new sessao();
		$session->setVar('status', 'authorized');
		$session->setVar('group', $resp->group);
		$session->setVar('userid', $user);
		
		$iv = openssl_random_pseudo_bytes(16);
		
		$encrypt = openssl_encrypt($pass, 'AES256', $pass.$this->encryption_key, 0, $iv);
		
		$de = openssl_decrypt($encrypt, 'AES256', $pass.$this->encryption_key, 0, $iv);
		echo 'Encrypt: '.$encrypt.'<br>';
		echo 'Decrypt: '.$de.'<br>';
		echo $pass.'<br>';
		echo strlen($encrypt);
		
		#$login->loadController('dashboard');
	}

Estou pensando em guardar a chave apenas no bd, uma tabela e coluna a parte, pois esse sistema vai ser um dashbord de equipamentos de redes, em que eu me comunico via webservices com outra aplicação em perl, mas as app vão acessar o mesmo bd, é mais seguro eu dar select na chave no mesmo da criptografia ou não tem problema manter a chave direto no código?