Wie kann man die Identität einer Person von ihren persönlichen Daten trennen?

Ich schreibe eine App, deren Hauptzweck darin besteht, eine Liste der Einkäufe von Nutzern zu führen.

Ich möchte sicherstellen, dass auch ich als Entwickler (oder jeder mit vollem Zugriff auf die Datenbank) nicht herausfinden kann, wie viel Geld eine bestimmte Person ausgegeben oder was sie gekauft hat.

Ich hatte anfangs das folgende Schema:

    --------------+------------+-----------
    user_hash     | item       | price
    --------------+------------+-----------
    a45cd654fe810 | Strip club |     400.00
    a45cd654fe810 | Ferrari    | 1510800.00
    54da2241211c2 | Beer       |       5.00
    54da2241211c2 | iPhone     |     399.00

Benutzer meldet sich mit Benutzername und Passwort an.Aus dem Passwort berechnenuser_hash (möglicherweise mit Salz usw.)Verwenden Sie den Hash, um mit normalen SQL-Abfragen auf Benutzerdaten zuzugreifen.

Bei genügend Benutzern sollte es fast unmöglich sein zu sagen, wie viel Geld ein bestimmter Benutzer ausgegeben hat, wenn er nur seinen Namen kennt.

Ist das eine vernünftige Sache, oder bin ich völlig dumm?