数据库里面的用户资料要不要加密呢？

不要，这样不方便脱裤（滑稽

不要，不方便索引
怕脱裤简单啊， user 表另外用一个数据库，登陆用 rpc 调用或者内部 rest 调用就完了，注意监控一下频率啥的

用可逆算法加密等于没加密
可以脱裤慢慢穷举
何况密钥必须在服务器上
自己用也不方便

最好把密码加密一下，用户名如果有需要也可以加密

密码标准做法难道不是 bcrypt ？

密码加密就可以了

用户名 手机 不需要，，，也就密码 信用卡号码这些加密就行。。

@tadtung 信用卡号按 PCIDSS 标准是不允许存，不是加密不加密的问题

@julyclyde #8 国内这些比如泄程 .....不用遵守就能收单么？=.=

@sobigfish 具体到携程的情况，是记在日志里了；数据库部分据说是合规的
不过其它家电商基本上也都是骗认证的。有些银行不开放“签约”功能，没法用卡号一次性建立签约关系，所以数据库里还是得存卡号。不过要么是内部人，要么是懂行人，才好说这个话，外人如果随便出来教（加密不加密），万一被教的人水平太烂将来漏了，于自己的名声也不好，你说是不是

@julyclyde 他们肯定不只记录在日志里的，因为携程 艺龙 这些在第一次完成信用卡支付后，以后在 app web 再次使用时 只需要验证尾号就 OK ，太恐怖了。
PS: 我是作为最终用户想了解，不是作为开发者想学习怎么保存-。-

@sobigfish 验证尾号那个功能，通过银行的签约接口也可以做到。这倒不是个强证据

作为用户的话应该使用 visa checkout 、支付宝、微信、 paypal 等比较靠谱的支付网关，而不是直接在电子商务网站输入卡号嘻嘻

@julyclyde #12 关键是有些时候 比如川航 改签补差价-。- 电话上只能用信用卡（虽然最后让其发的支付连接 自己输入的信用卡资料）