Estoy escribiendo una aplicación cuyo objetivo principal es mantener la lista de compras de los usuarios.

Me gustaría asegurarme de que incluso yo, como desarrollador (o cualquier persona con acceso total a la base de datos), no pudiera calcular cuánto dinero ha gastado una persona en particular o qué ha comprado.

Inicialmente se me ocurrió el siguiente esquema:

    --------------+------------+-----------
    user_hash     | item       | price
    --------------+------------+-----------
    a45cd654fe810 | Strip club |     400.00
    a45cd654fe810 | Ferrari    | 1510800.00
    54da2241211c2 | Beer       |       5.00
    54da2241211c2 | iPhone     |     399.00

El usuario inicia sesión con nombre de usuario y contraseña.A partir de la contraseña calcularuser_hash (posiblemente con sal, etc.).Use el hash para acceder a los datos de los usuarios con consultas SQL normales.

Dados suficientes usuarios, debería ser casi imposible saber cuánto dinero ha gastado un usuario en particular con solo saber su nombre.

¿Es esto algo sensato o soy completamente tonto?