# Prompt-to-PR: Adicionar Tabela de Dados Administrativa > POP para adicionar uma tabela de dados administrativa paginada no servidor, ordenável e pesquisável em Next.js usando TanStack Table e consulta PostgreSQL — sem mágica de ORM. **Type:** Playbook **Tools:** Cursor, Claude Code, Codex, Windsurf **Stack:** Next.js, TypeScript, PostgreSQL, Tailwind **Difficulty:** medium **Updated:** 2026-06-08 --- Tabelas administrativas são uma tarefa comum de codificação com IA que frequentemente produz implementações inseguras e totalmente no lado do cliente. Este guia mantém a paginação e a ordenação no servidor e protege explicitamente a rota. ## 1. Requisito Adicionar uma página `/admin/users` acessível apenas a usuários com `role = "admin"`. A tabela é paginada no servidor (25 linhas), ordenável por coluna e pesquisável por email. Os dados vêm de uma tabela `users` do PostgreSQL via consulta parametrizada — sem SQL não parametrizado. ## 2. Primeiro Prompt ```txt title="First Prompt" Add an admin users table to this Next.js 15 App Router project. Requirements: 1. Create `src/app/admin/users/page.tsx` — an async Server Component. - Protect it: check the session (using the existing auth helper at src/lib/auth.ts). If no session or session.user.role !== "admin", call notFound() or redirect to /. - Read `page` (default 1), `sort` (default "createdAt"), `order` ("asc"|"desc", default "desc"), and `q` (search string) from `searchParams`. - Fetch data by calling a function `getUsers({ page, sort, order, q })` from `src/lib/queries/users.ts`. - Pass results to `` client component. 2. Create `src/lib/queries/users.ts` exporting `getUsers`. - Use parameterized SQL via the existing db client (Drizzle or postgres.js, whichever is in this project). - Allowed sort columns whitelist: ["email","name","createdAt","role"]. Reject any other sort value by defaulting to "createdAt". - Return `{ rows: User[], total: number }`. - Page size: 25. 3. Create `src/components/admin/UsersTable.tsx` — a Client Component using TanStack Table v8. - Columns: email, name, role, createdAt (formatted), actions (Edit link). - Column headers are clickable to sort — update URL search params via useRouter/useSearchParams (do not manage sort state locally). - Render a search input that debounces 300 ms before updating the URL. - Render a pagination row: Previous / Next and "Page N of M". 4. Install `@tanstack/react-table` if not already present. 5. Do not implement the Edit action — leave it as a placeholder link. ``` ## 3. Mudanças Esperadas nos Arquivos ```txt package.json (@tanstack/react-table if missing) src/app/admin/users/page.tsx (new — protected Server Component) src/lib/queries/users.ts (new — parameterized query) src/components/admin/UsersTable.tsx (new — TanStack Table client component) ``` ## 4. Lista de Verificação - A página verifica `session.user.role === "admin"` no servidor — sem proteção apenas no cliente. - `getUsers` usa lista branca de colunas de ordenação permitidas antes de interpolá-las no SQL — sem entrada bruta do usuário em nomes de colunas. - Todos os valores WHERE/LIMIT/OFFSET usam placeholders parametrizados, sem concatenação de strings. - Pesquisa (`q`) usa `ILIKE '%' || $1 || '%'` com um parâmetro, sem interpolação de strings. - TanStack Table é usado apenas em componente `"use client"` — sem importação de `@tanstack/react-table` em Componentes Servidor. - Parâmetros de busca da URL controlam ordenação/página/pesquisa — o botão Voltar do navegador funciona corretamente. - O total `total` vem de um `SELECT COUNT(*)` na mesma função de consulta — não de uma varredura completa da tabela separada da consulta paginada. ## 5. Comandos de Teste ```bash bun dev # Hit the page as an unauthenticated user curl -I http://localhost:3000/admin/users # Expect: 404 or redirect, not 200 # Log in as an admin user in the browser, visit /admin/users # Confirm: 25 rows, sortable columns, search, pagination # SQL audit — confirm no dynamic column names slip through grep -n "sort\|order\|column" src/lib/queries/users.ts bun tsc --noEmit bun test ``` ## 6. Falhas Comuns - **Injeção SQL via coluna de ordenação** — o agente interpola `sort` diretamente: `` `ORDER BY ${sort}` ``. Deve usar uma lista branca para obter um nome de coluna seguro. - **`searchParams` é assíncrono no Next.js 15+** — deve ser usado com `await`: `const { page } = await searchParams`. - **TanStack Table renderizado em um Componente Servidor** — erro de build porque usa `useState`. Mova para um componente `"use client"`. - **Contagem `total` com erro de página** — `Math.ceil(total / 25)` dá número errado de páginas se `total` for 0. Proteja: `Math.max(1, Math.ceil(total / 25))`. - **Verificação de role ausente** — o agente verifica apenas a sessão, não a role de administrador. Qualquer usuário logado pode acessar a tabela. ## 7. Prompt de Correção ```txt title="Fix Prompt" The sort column in getUsers is interpolated directly into SQL: `ORDER BY ${sort} ${order}` This is a SQL injection risk. Fix: create an allowlist object: const ALLOWED_SORT: Record = { email: "users.email", name: "users.name", createdAt: "users.created_at", role: "users.role", }; const safeSort = ALLOWED_SORT[sort] ?? "users.created_at"; Then use `safeSort` in the query. The order direction must also be validated: only accept "asc" or "desc", default to "desc". ``` ## 8. Descrição do PR ```md title="PR description" ## Feature: Admin users table at /admin/users - Server-side pagination (25 rows/page), sorting, and email search - Role guard: redirects non-admins server-side (no client-only check) - Parameterized SQL with sort-column whitelist — no injection surface - TanStack Table v8 client component; sort/page/search state lives in URL - `getUsers` returns `{ rows, total }` from a single query function ```