Этот вопрос в конечном итоге возвращает к управлению ключами - ключ должен храниться где-то .То, где вы храните ключ, зависит от требуемой степени безопасности.
В вашем сценарии (вы упоминаете университет) я бы сказал, что хранение ключа на вашем PHP-сервере ( не сервер базы данных) будет "достаточно".
Защита ключа затем вернется к тому, насколько хорошо защищен этот сервер PHP.
Я рекомендую вам выполнить шифрование в коде PHP, не используя AES_ENCRYPT - это предотвращает возможность того, что сервер базы данных узнает, что это за ключ, и означает, что нарушение на сервере базы данных не будет раскрывать никакой информации.
Вас также может заинтересовать этот репозиторий , который демонстрируеткак безопасно шифровать и дешифровать данные в PHP.