Budujesz AI w aplikacji poprzez wywoływanie API modelu po stronie serwera i traktowanie jego wyników jako niezaufanego wejścia. W przypadku Claude oznacza to wywoływanie Messages API z twojego backendu (PHP w przypadku wtyczki WordPress) z kluczem API przechowywanym na serwerze — nigdy w JavaScript po stronie klienta, gdzie każdy mógłby go ukraść.
Główna zasada: klucz API znajduje się na serwerze. Przeglądarka komunikuje się z twoim punktem końcowym; twój punkt końcowy komunikuje się z Claude.
<?php
// In a WordPress plugin: run this in PHP (server-side), never expose the key to JS.
$resp = wp_remote_post( 'https://api.anthropic.com/v1/messages', [
'headers' => [
'x-api-key' => getenv( 'ANTHROPIC_API_KEY' ), // from env/secret store, not code
'anthropic-version' => '2023-06-01',
'content-type' => 'application/json',
],
'timeout' => 30,
'body' => wp_json_encode( [
'model' => 'claude-sonnet-4-5', // pick a current model id
'max_tokens' => 1024, // cap output → controls cost
'messages' => [
[ 'role' => 'user', 'content' => $user_prompt ],
],
] ),
] );
if ( is_wp_error( $resp ) ) { /* handle network/timeout errors, maybe retry */ }
$data = json_decode( wp_remote_retrieve_body( $resp ), true );
$text = $data['content'][0]['text'] ?? ''; // validate before trusting/displaying it
- TOOL USE / FUNCTION CALLING → let the model call your functions (search, DB lookup)
- STREAMING → stream tokens for a responsive UI on long answers
- PROMPT CACHING → cache a large static system prompt → cheaper, faster
- STRUCTURED OUTPUT → ask for JSON, then parse + schema-validate it
- ERRORS & RATE LIMITS → handle 429/5xx with backoff + retry; show a fallback
- COST → cap max_tokens, log token usage, set per-user limits
Zawsze weryfikuj wynik modelu przed jego użyciem: nigdy nie uruchamiaj go jako kodu, nie renderuj go bez escapowania ani nie wpisuj niezweryfikowanego do bazy danych. Model to potężny, ale zawodny generator tekstu, a nie zaufane źródło.
Wdrażanie AI w rzeczywistym produkcie to przede wszystkim nudne ale krytyczne inżynierskie prace wokół wywołania, a nie samo wywołanie. Trzymanie klucza po stronie serwera zapobiega kradzieży i nieograniczonymi rachunkami; obsługa błędów, limitów szybkości i kosztów utrzymuje funkcję niezawodną i przystępną; a weryfikacja wyników przed podjęciem działań zapobiega temu, aby błędy modelu lub wstrzykniętą instrukcję nie stały się luką w zabezpieczeniach. Zrób to dobrze, a Messages API staje się niezawodnym elementem konstrukcyjnym; pomiń to, a imponująca demo zamienia się w wyciek klucza, zaskakujący rachunek lub exploit.