P PasteCode
pt
English en 中文 zh Deutsch de Français fr Español es Português pt
Playbook

Prompt-to-PR: Adicionar Tabela de Dados Administrativa

POP para adicionar uma tabela de dados administrativa paginada no servidor, ordenável e pesquisável em Next.js usando TanStack Table e consulta PostgreSQL — sem mágica de ORM.

CursorClaude CodeCodexWindsurf Next.jsTypeScriptPostgreSQLTailwind
.md .json Dificuldade: Médio Atualizado 8 de jun. de 2026

Tabelas administrativas são uma tarefa comum de codificação com IA que frequentemente produz implementações inseguras e totalmente no lado do cliente. Este guia mantém a paginação e a ordenação no servidor e protege explicitamente a rota.

1. Requisito

Adicionar uma página /admin/users acessível apenas a usuários com role = "admin". A tabela é paginada no servidor (25 linhas), ordenável por coluna e pesquisável por email. Os dados vêm de uma tabela users do PostgreSQL via consulta parametrizada — sem SQL não parametrizado.

2. Primeiro Prompt

First Prompt
Add an admin users table to this Next.js 15 App Router project.


Requirements:
1. Create `src/app/admin/users/page.tsx` — an async Server Component.
   - Protect it: check the session (using the existing auth helper at
     src/lib/auth.ts). If no session or session.user.role !== "admin",
     call notFound() or redirect to /.
   - Read `page` (default 1), `sort` (default "createdAt"), `order`
     ("asc"|"desc", default "desc"), and `q` (search string) from
     `searchParams`.
   - Fetch data by calling a function `getUsers({ page, sort, order, q })`
     from `src/lib/queries/users.ts`.
   - Pass results to `<UsersTable>` client component.
2. Create `src/lib/queries/users.ts` exporting `getUsers`.
   - Use parameterized SQL via the existing db client (Drizzle or postgres.js,
     whichever is in this project).
   - Allowed sort columns whitelist: ["email","name","createdAt","role"].
     Reject any other sort value by defaulting to "createdAt".
   - Return `{ rows: User[], total: number }`.
   - Page size: 25.
3. Create `src/components/admin/UsersTable.tsx` — a Client Component using
   TanStack Table v8.
   - Columns: email, name, role, createdAt (formatted), actions (Edit link).
   - Column headers are clickable to sort — update URL search params via
     useRouter/useSearchParams (do not manage sort state locally).
   - Render a search input that debounces 300 ms before updating the URL.
   - Render a pagination row: Previous / Next and "Page N of M".
4. Install `@tanstack/react-table` if not already present.
5. Do not implement the Edit action — leave it as a placeholder link.

3. Mudanças Esperadas nos Arquivos

package.json                                   (@tanstack/react-table if missing)
src/app/admin/users/page.tsx                   (new — protected Server Component)
src/lib/queries/users.ts                       (new — parameterized query)
src/components/admin/UsersTable.tsx            (new — TanStack Table client component)

4. Lista de Verificação

  • A página verifica session.user.role === "admin" no servidor — sem proteção apenas no cliente.
  • getUsers usa lista branca de colunas de ordenação permitidas antes de interpolá-las no SQL — sem entrada bruta do usuário em nomes de colunas.
  • Todos os valores WHERE/LIMIT/OFFSET usam placeholders parametrizados, sem concatenação de strings.
  • Pesquisa (q) usa ILIKE '%' || $1 || '%' com um parâmetro, sem interpolação de strings.
  • TanStack Table é usado apenas em componente "use client" — sem importação de @tanstack/react-table em Componentes Servidor.
  • Parâmetros de busca da URL controlam ordenação/página/pesquisa — o botão Voltar do navegador funciona corretamente.
  • O total total vem de um SELECT COUNT(*) na mesma função de consulta — não de uma varredura completa da tabela separada da consulta paginada.

5. Comandos de Teste

Terminal window
bun dev


# Hit the page as an unauthenticated user
curl -I http://localhost:3000/admin/users
# Expect: 404 or redirect, not 200


# Log in as an admin user in the browser, visit /admin/users
# Confirm: 25 rows, sortable columns, search, pagination


# SQL audit — confirm no dynamic column names slip through
grep -n "sort\|order\|column" src/lib/queries/users.ts


bun tsc --noEmit
bun test

6. Falhas Comuns

  • Injeção SQL via coluna de ordenação — o agente interpola sort diretamente: `ORDER BY ${sort}`. Deve usar uma lista branca para obter um nome de coluna seguro.
  • searchParams é assíncrono no Next.js 15+ — deve ser usado com await: const { page } = await searchParams.
  • TanStack Table renderizado em um Componente Servidor — erro de build porque usa useState. Mova para um componente "use client".
  • Contagem total com erro de páginaMath.ceil(total / 25) dá número errado de páginas se total for 0. Proteja: Math.max(1, Math.ceil(total / 25)).
  • Verificação de role ausente — o agente verifica apenas a sessão, não a role de administrador. Qualquer usuário logado pode acessar a tabela.

7. Prompt de Correção

Fix Prompt
The sort column in getUsers is interpolated directly into SQL:
  `ORDER BY ${sort} ${order}`
This is a SQL injection risk.


Fix: create an allowlist object:
  const ALLOWED_SORT: Record<string, string> = {
    email: "users.email",
    name: "users.name",
    createdAt: "users.created_at",
    role: "users.role",
  };
  const safeSort = ALLOWED_SORT[sort] ?? "users.created_at";


Then use `safeSort` in the query. The order direction must also be
validated: only accept "asc" or "desc", default to "desc".

8. Descrição do PR

PR description
## Feature: Admin users table at /admin/users


- Server-side pagination (25 rows/page), sorting, and email search
- Role guard: redirects non-admins server-side (no client-only check)
- Parameterized SQL with sort-column whitelist — no injection surface
- TanStack Table v8 client component; sort/page/search state lives in URL
- `getUsers` returns `{ rows, total }` from a single query function
Tags: Next.jsPostgreSQLTypeScriptTailwindAuth

Relacionados