Hola, primero te diria que lo mejor seria que ya salga encryptado desde el cliente, porque muchas veces (en realidad muchisimos ataques se basan en atacar la información que es enviada) es atacado cuando se envia. Mi humilde recomendación seria que por medio de JS lo hagas y ya la envies encryptado pero todo esto depende de que tipo de aplicación sea porque si consiguiendo los datos lo unico que pueden hacer es visualizar fotos, no creo que tendria que tener mucho esfuerzo eso, sino que seria mejor que le pongas más atención a la inyección de codigo. Como siempre todo depende del proyecto. Saludos.