Senior#Security #Ai #Api Integration #Claude Api #Backend

คุณสร้าง plugin หรือ app ที่มี AI อยู่ภายในได้อย่างไร เช่น การรวม Claude API เข้ากับ WordPress plugin?

คุณสร้าง AI ลงในแอปโดยการเรียก API ของโมเดล ด้านเซิร์ฟเวอร์ และถือว่าผลลัพธ์ของมันเป็นข้อมูลที่ไม่น่าเชื่อถือ สำหรับ Claude นั่นหมายถึงการเรียก Messages API จากแบ็กเอนด์ของคุณ (PHP สำหรับ WordPress plugin) โดยเก็บคีย์ API ไว้บนเซิร์ฟเวอร์ — ไม่ใช่ใน JavaScript ด้านไคลเอนต์ที่ใครก็ตามสามารถขโมยได้

การเรียกด้านเซิร์ฟเวอร์

กฎหลัก: คีย์ API อยู่บนเซิร์ฟเวอร์ เบราว์เซอร์คุยกับ endpoint ของคุณ; endpoint ของคุณคุยกับ Claude

php

<?php
// In a WordPress plugin: run this in PHP (server-side), never expose the key to JS.
$resp = wp_remote_post( 'https://api.anthropic.com/v1/messages', [
  'headers' => [
    'x-api-key'         => getenv( 'ANTHROPIC_API_KEY' ), // from env/secret store, not code
    'anthropic-version' => '2023-06-01',
    'content-type'      => 'application/json',
  ],
  'timeout' => 30,
  'body' => wp_json_encode( [
    'model'      => 'claude-sonnet-4-5',   // pick a current model id
    'max_tokens' => 1024,                   // cap output → controls cost
    'messages'   => [
      [ 'role' => 'user', 'content' => $user_prompt ],
    ],
  ] ),
] );

if ( is_wp_error( $resp ) ) { /* handle network/timeout errors, maybe retry */ }
$data = json_decode( wp_remote_retrieve_body( $resp ), true );
$text = $data['content'][0]['text'] ?? '';   // validate before trusting/displaying it

นอกเหนือจากพื้นฐาน

text

- TOOL USE / FUNCTION CALLING → let the model call your functions (search, DB lookup)
- STREAMING                   → stream tokens for a responsive UI on long answers
- PROMPT CACHING              → cache a large static system prompt → cheaper, faster
- STRUCTURED OUTPUT           → ask for JSON, then parse + schema-validate it
- ERRORS & RATE LIMITS        → handle 429/5xx with backoff + retry; show a fallback
- COST                        → cap max_tokens, log token usage, set per-user limits

เสมอ ตรวจสอบผลลัพธ์ของโมเดลก่อนใช้งาน: อย่าเรียกใช้เป็นโค้ด ไม่ให้แสดงผลโดยไม่มี escape หรือเขียนลงในฐานข้อมูลของคุณโดยไม่ตรวจสอบ โมเดลเป็นตัวสร้างข้อความที่มีประสิทธิภาพแต่อาจผิดพลาด ไม่ใช่แหล่งข้อมูลที่เชื่อถือได้

ทำไมจึงสำคัญ

การจัดส่ง AI ในสินค้าจริงส่วนใหญ่คือวิศวกรรมที่น่าเบื่อ แต่สำคัญไม่ใช่การเรียก ไม่ใช่การเรียกเอง เก็บคีย์บนเซิร์ฟเวอร์ป้องกันการขโมยและบิลที่นอกเหนือจากการควบคุม; จัดการกับข้อผิดพลาด ข้อจำกัดอัตรา และต้นทุนทำให้คุณลักษณะนั้นทำงานได้อย่างน่าเชื่อถือและราคาถูก และการตรวจสอบผลลัพธ์ก่อนทำการใด ๆ กับมัน ป้องกันความผิดพลาดของโมเดลหรือคำสั่งที่ฉีดเข้าจากการกลายเป็นช่องโหว่ด้านความปลอดภัย ได้ตรงตามนี้ แล้ว Messages API จะกลายเป็นบล็อกการสร้างที่เชื่อถือได้ข้ามผ่านพวกเขา และสาธารณะประทับใจกลายเป็นคีย์ที่ขโมย ใบแจ้งหนี้ที่ไม่คาดคิด หรือการใช้ประโยชน์

ย้อนกลับ AI-Assisted Development