Друг мой он не скрыт=) Js не скроешь=) А пых ты сам гитхабе выложил.
Ну во первых ты сейвиш в куку секретку. Т.е переходим на
http://www.funnymay.com/jbot21/jbot_wex.html. Запускаем скрипт, на обработчике сохранения данных ты устанавливаешь куку wex_set_1. Теперь закрываем все, ребутим комп, успешно забываем. А в настройках браузера, у нас осталась твоя кука. А уж спереть куки это далеко не самое хитрое дело.
Можешь в хроме посмотреть в настройки->дополнительно->настройки контента->файлы куки->все файлы... и там грепом wex_set_1 получаем наши секретки. Это если на вскидку.
Сам браузер это большая уязвимость. Не продвинутые пользователи свои ключи потерять могут.
У себя я сделал config.yml для предварительной настройки (можно json). Ключи берутся из переменных окружения контейнера, которые устанавливаются через setup.sh. Т.е в явном виде ты их не хранишь но поднимаешь контейнер через установщик на лету их подхватываешь (можно проще сделать, тут я заигрался). docker inspect ecceсно ток из под рута.
Суперглобальные переменные вообще как табу. Причины можешь сам почитать.
Ну незнаю-незнаю.
0 В пхп истины я вам не открою, там все стандартно, хай-лоу за сутки и все. Каждый профан напишет такой код.
1 По мне, так лучше ключи и секретки хранить у себя на локальном хосте в куках, чем в бд на чужом сайте.
2 Если привязать к этой страничке файлы и бд, установка для рядового пользователя превратится в пытку
3 Ключи можно в любой момент удалить с биржи и создать новые, тут каждый в ответе за свои средства. Не стоит ставить все разрешения на ключи. чисто trade и info
4 Какая разница в каких переменных хранить данные, суперглобалы или нет. Я не вижу смысла в каждой функции извращаться и вписывать массив торгуемых пар.
5 Большинство пользователей (95%) предпочитают не ковыряться в коде. им по-барабану, как написан код, сколько раз там встречается дебаг или xhr. Для них код - это клинская письменность. Главное для них - работоспособность.
Или я не прав.