Это как минимум странно хранить user_id и secret от VK в кукисах своего сайта.
Возможно, стоит использовать стандартные механизмы авторизации, предусмотренные фреймворком, а данные хранить уже в бд и связывать с пользователем.
Шифровать ничего не нужно, по крайней мере токен - вам ещё отправлять запросы к Вк используя его.
secret я сам генерирую и записываю в куки. Мой secret + vk_id от ВК связывает юзера с базой данных. Я опасаюсь за SQL-инъекции, поэтому и спросил про шифрование.
secret на сколько я помню меняется каждый раз при авторизации его нет смысла хранить
я храню user_id и token, но последний тоже может меняться иногда
что бы не было SQL-инъекций используйте PDO
шифровать не надо