C# 加密我的paypal API凭据最合理的解决方案？

我知道我永远不会完全安全。。。但paypal文档似乎强调，我永远不应该在代码（即web.config或某些C#）中以纯文本形式存储API凭据

1） 什么是保护它的合理方式。。。不过火？ 2） 如果我加密web.config中的密钥。。。我在哪里存储加密密钥。。。在数据库里，对吗？但是。。。到我的数据库的连接字符串也可以在web.config中看到。。。所以我不明白为什么这被认为是安全的

---

我的网站是一个电子商务商店，可能位于Arvixe business shared server上。

我会加密Paypal凭据，并将此加密信息存储在web.config中。在单独的DLL中进行解密并混淆此DLL。您也可以使用外部保护系统来保护此DLL，但我们在过去遇到过一些问题，即受保护的库在共享web环境中不能始终正常工作。

因此加密/解密密钥也应该存储在DLL中？还有一个后续问题--我刚刚下载了eazfouscator.net以混淆我的DLL。我看到它有一个内置的功能来混淆。。。和去泡沫。如何防止恶意黑客仅仅获取我的目标dll并将其释放以获取我的加密密钥？对他们来说，访问您的dll将非常困难。如果他们可以访问你的网站，那么没有任何东西可以阻止他们修改代码，接受存款到另一个帐户，或使用它窃取信用卡。您也可以在DLL中对解密密钥进行一些基本的加密，但是如果他们能够访问您的库，那么这是您最不关心的。如果你真的担心，你可以使用一个现成的保护系统来加密和锁定模糊的DLL，然后与你的托管公司测试它。谢谢格雷，我想你是对的。看来你在上面提出的是“合理的”解决方案而不是太过火…我还有一个问题。。。请参阅下面对答案的评论。