Integración de React Server Components con PostgreSQL

Clase 5 de 24 • Curso de Next.js Avanzado

Resumen

La integración de React Server Components con bases de datos como PostgreSQL ofrece una arquitectura potente y segura para manejar datos sensibles en aplicaciones modernas. Aquí exploramos cómo construir una aplicación con esta tecnología, realizando consultas SQL sin intermediarios y maximizando la seguridad y eficiencia de tu backend.

¿Qué ventajas ofrecen los React Server Components para proteger datos?

Protección del código del navegador: React Server Components permiten que el código sensible permanezca en el servidor, enviando al cliente solo el HTML necesario.
Minimización de exposición: Los navegadores no acceden directamente a las APIs o secretos del servidor, reduciendo riesgos de seguridad.
Separación de lógica cliente-servidor: Next.js gestiona esta separación automáticamente, facilitando la implementación de buenas prácticas.

¿Cómo conectar PostgreSQL directamente desde un React Server Component?

Configuración de la base de datos:

Utiliza psql para crear la base de datos y tablas. En este ejemplo:

CREATE DATABASE "expense_tracker";
\c expense_tracker
CREATE TABLE expenses (
  id SERIAL PRIMARY KEY,
  name TEXT NOT NULL,
  amount NUMERIC NOT NULL,
  date TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

Verifica la estructura desde la línea de comandos o una GUI de PostgreSQL.

Conexión en Next.js:

Configura la conexión en un archivo dedicado. Usa librerías como pg:

const { Pool } = require('pg');
const pool = new Pool({
  connectionString: process.env.DATABASE_URL,
});
module.exports = pool;

Consultas directas a SQL:

Define funciones para leer y mutar datos:

const getExpenses = async () => {
  const result = await pool.query('SELECT * FROM expenses ORDER BY date DESC');
  return result.rows;
};

const addExpense = async (name, amount) => {
  await pool.query('INSERT INTO expenses (name, amount) VALUES ($1, $2)', [name, amount]);
};

¿Cómo integrar consultas con un React Server Component?

Uso de funciones asincrónicas: Los componentes de servidor pueden llamar funciones SQL directamente sin intermediarios como ORMs.

Ejemplo de lectura y renderizado:

import { getExpenses } from './db';

export default async function ExpenseTracker() {
  const expenses = await getExpenses();
  return (
    <table>
      <thead>
        <tr><th>Name</th><th>Amount</th><th>Date</th></tr>
      </thead>
      <tbody>
        {expenses.map(expense => (
          <tr key={expense.id}>
            <td>{expense.name}</td>
            <td>{expense.amount}</td>
            <td>{expense.date}</td>
          </tr>
        ))}
      </tbody>
    </table>
  );
}

¿Cómo manejar mutaciones desde el cliente?

Uso de formularios y acciones:

'use client';
const handleSubmit = async (formData) => {
  const name = formData.get('name');
  const amount = formData.get('amount');
  await fetch('/add-expense', { method: 'POST', body: JSON.stringify({ name, amount }) });
};

Revalidación de datos en Next.js:

Para actualizar automáticamente la UI tras una mutación:

import { revalidatePath } from 'next/cache';
await revalidatePath('/expense-tracker');

¿Por qué es más seguro trabajar de esta forma?

API oculta al cliente: Next.js genera rutas dinámicas protegidas, dificultando el acceso malicioso.
Datos sensibles solo en el servidor: La lógica permanece oculta al navegador.
Protección contra ataques automatizados: Al evitar exponer rutas predecibles, se reducen las superficies de ataque.

Diana Florez

student•

Si se utiliza directamente postgreSQL sin orm no hay vulnerabilidades de sql injection ?

Ricardo Vinardell Romero

student•

Si utilizas consultas parametrizadas no deberia

Ivan Camilo Buitrago Buitrago

student•

El uso directo de PostgreSQL sin un ORM no elimina por completo las vulnerabilidades de SQL Injection. La protección contra este tipo de ataques depende del manejo adecuado de las consultas SQL. Cuando se construyen consultas SQL dinámicamente, el riesgo de inyección aumenta. Por lo tanto, es crucial utilizar prácticas seguras, como consultas parametrizadas o sentencias preparadas, independientemente de si se usa un ORM o se conecta directamente a la base de datos. Así, se protege la aplicación de potenciales ataques.

David Camacho

student•

Creo que acá hay un typo (quizás fue por la manera como configuré mi entorno), pero dejó la aclaración por si alguien más tiene el mismo error.

Básicamente es que al crear una nueva bd con el nombre expense_tracker la variable POSTGRESQL_ENDPOINT no funcionaría ya que hace referencia a la base de datos del ejemplo anterior en mi caso platzi-db.

Entonces para este escenario creé otra variable en el archivo .env llamada POSTGRESQL_ENDPOINT_TRACKER que hace referencia a la base de datos que acabamos de crear expense_tracker. Es algo como: POSTGRESQL_ENDPOINT_TRACKER=postgresql://postgres:mypassword@localhost:3001/expense_tracker

Y en el archivo app/expense-tracker/db.ts la variable sql quedaría algo así.

export const sql = postgres(process.env.POSTGRESQL_ENDPOINT_TRACKER)

Josue David

student•

La verdad que me paso lo mismo. Justo con lo que has compartido logre que funcione. muchas gracias.

Juan Diego Mejia Maestre

student•

🗄️ Next.js + PostgreSQL: Arquitectura "Direct-to-DB"

La integración de React Server Components (RSC) con bases de datos elimina la necesidad de capas de API intermedias (REST/GraphQL), permitiendo que el servidor hable directamente con SQL de forma segura.

🛡️ Seguridad de Grado Superior

Secretos a salvo: Las credenciales de la DB y las queries SQL nunca viajan al navegador. El cliente solo recibe datos limpios.
Invisible al cliente: Al no exponer endpoints públicos de API para cada consulta, reduces drásticamente la superficie de ataque (Zero-API Surface).
Prevención de Inyecciones: Al usar parámetros en las queries ($1, $2), delegas la seguridad de los datos al driver de PostgreSQL.

🚀 Flujo de Trabajo: SQL + RSC

Conexión Directa: Usamos un Pool de conexiones para manejar múltiples usuarios eficientemente.
Server Functions: Creamos funciones asíncronas que ejecutan SQL puro.
Renderizado Instantáneo: El componente llama a la función, recibe los datos y genera el HTML antes de que el usuario vea la página.

Dato interesante 💡: Usar SQL puro con la librería pg es ligeramente más rápido que muchos ORMs, ideal para aplicaciones donde cada milisegundo cuenta (como dashboards financieros).

🔄 Mutaciones con Server Actions

En lugar de manejar fetch manuales en el cliente, Next.js permite usar Server Actions. Esto permite que una función de servidor se ejecute directamente desde un formulario.

// actions.ts
'use server' // 👈 Indica que esto solo se ejecuta en el servidor

import { pool } from './db';
import { revalidatePath } from 'next/cache';

export async function createExpense(formData: FormData) {
  const name = formData.get('name');
  const amount = formData.get('amount');

  await pool.query('INSERT INTO expenses (name, amount) VALUES ($1, $2)', [name, amount]);

  // Refresca los datos sin recargar la página 🪄
  revalidatePath('/dashboard');
}

🏗️ ORM: El Puente entre Objetos y SQL (Ejemplo: Drizzle)

Un ORM traduce tus tablas de la base de datos a código que TypeScript entiende perfectamente. Drizzle es especialmente potente porque es "headless" y extremadamente ligero.

🌟 ¿Por qué usar Drizzle en lugar de SQL puro?

Type Safety: Si cambias el nombre de una columna en la DB, TypeScript te dará un error en el código antes de que lo publiques.
Intellisense: El editor te sugiere los nombres de las tablas y campos mientras escribes.
Migraciones Automáticas: El ORM genera los archivos .sql necesarios para actualizar tu base de datos por ti.

🛠️ Ejemplo Práctico: Gestión de Gastos

1. Define tu Esquema (Schema): En lugar de CREATE TABLE en la consola, lo haces en código:

import { pgTable, serial, text, numeric, timestamp } from "drizzle-orm/pg-core";

export const expenses = pgTable("expenses", {
  id: serial("id").primaryKey(),
  name: text("name").notNull(),
  amount: numeric("amount", { precision: 10, scale: 2 }).notNull(),
  createdAt: timestamp("created_at").defaultNow(),
});

2. Consulta en un Server Component:

Olvídate de SELECT * FROM.... Ahora usas funciones limpias:

TypeScript

`import { db } from "./db"; import { expenses } from "./schema";

export default async function ExpenseList() { // Consulta tipada y segura const allExpenses = await db.select().from(expenses);

return ( <ul> {allExpenses.map((e) => ( <li key={}>{}: ${e.amount}</li> ))} </ul> ); }`

📊 Comparativa Rápida

CaracterísticaSQL Puro (pg)ORM (Drizzle/Prisma)

Curva de aprendizaje

Media (debes saber SQL)

Baja/Media (JS/TS)

Seguridad (Tipado)

Manual / Difícil

Automática e Integrada

Velocidad de ejecución

Máxima

Muy Alta (Drizzle es casi nativo)

Mantenimiento

Complejo en proyectos grandes

Muy sencillo

// actions.ts
'use server' // 👈 Indica que esto solo se ejecuta en el servidor

import { pool } from './db';
import { revalidatePath } from 'next/cache';

export async function createExpense(formData: FormData) {
  const name = formData.get('name');
  const amount = formData.get('amount');

  await pool.query('INSERT INTO expenses (name, amount) VALUES ($1, $2)', [name, amount]);

  // Refresca los datos sin recargar la página 🪄
  revalidatePath('/dashboard');
}

import { pgTable, serial, text, numeric, timestamp } from "drizzle-orm/pg-core";

export const expenses = pgTable("expenses", {
  id: serial("id").primaryKey(),
  name: text("name").notNull(),
  amount: numeric("amount", { precision: 10, scale: 2 }).notNull(),
  createdAt: timestamp("created_at").defaultNow(),
});