Tach!

Ich will die Daten auch nicht vor der NSA schützen sondern einfach den bestmöglichen Schutz ermöglichen.

Bestmöglich bedeutet nach aktuellem Stand der Technik. Das ist aber bei deinen Anforderungen nicht möglich. Du musst deshalb definieren, was deine (restlichen geringen) Sicherheitsanforderungen sind, welche Szenarien nicht möglich sein sollen. Und du musst dir im Klaren sein, was alles an Angriffen möglich ist.

Und ich denke immer noch, dass es (in diesem Fall) besser ist die Daten verschlüsselt in der DB abzulegen, als gar nicht. Auch wenn sie am Weg dort hin und zurück mitgelesen werden könnten.

Das hilft nur gegen ein ungewolltes Auslesen des Datenbankinhalts. Der Angreifer darf dabei aber keinen Zugriff auf deinen Code haben. Die Verschlüsslung muss ja auf deinem Server erfolgen, also müssen da auch die Schlüssel liegen.

Was ist daher, auch wenn jetzt einige sagen werden, dass es sinnlos ist, die beste Lösung um das umzusetzen. Welche PHP Bibliotheken könnt ihr mir empfehlen?

Darüber musst du dir keine großen Gedanken mehr machen. Wenn die Verschlüsslung nun drei Stufen schwerer zu knacken ist, als mit einem anderen Verfahren, dann knackt man eben deinen Server und kommt so an den Schlüssel.

Und wo ist der "sicherste" Platz für den Schlüssel?

Unter den gegebenen Umständen reicht es aus, wenn er außerhalb des DocumentRoots zu liegen kommt. Alle Plätze sind dann einigermaßen gleich (un)sicher.

dedlfix.