技能 global-validation
📦

global-validation

低風險

تنفيذ التحقق من المدخلات بشكل عام

也可從以下取得: DevanB

توفر هذه المهارة أنماطاً شاملة للتحقق من مدخلات المستخدم وطلبات API وبيانات النماذج. يساعد في منع هجمات حقن البيانات وضمان سلامة البيانات وتقديم ملاحظات متسقة للأخطاء للمستخدمين.

支援: Claude Codex Code(CC)
⚠️ 66
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「global-validation」。 نقطة نهاية API لتسجيل المستخدم تقبل الاسم والبريد الإلكتروني وكلمة المرور

預期結果:

تمت إضافة التحقق: يجب أن يكون الاسم سلسلة غير فارغة (1-100 حرف)، يجب أن يتطابق البريد الإلكتروني مع نمط regex للبريد الإلكتروني، يجب أن تكون كلمة المرور 8 أحرف أو أكثر مع متطلبات التعقيد. يُرجع خطأ محدد: 'email' => 'تنسيق البريد الإلكتروني غير صالح' أو 'password' => 'يجب أن تحتوي كلمة المرور على الأقل على 8 أحرف بما في ذلك أحرف كبيرة وصغيرة ورقم'.

正在使用「global-validation」。 منشئ استعلام SQL مع أسماء الأعمدة المقدمة من المستخدم

預期結果:

تم تنفيذ التحقق بالقائمة المسموحة: يمكن فقط استخدام الأعمدة في ALLOWED_COLUMNS. يُرفض مع الخطأ: 'حقل الفرز غير صالح. الحقول المسموحة هي: id, name, created_at'. هذا يمنع حقن SQL عبر التلاعب باسم العمود.

安全審計

低風險
v6 • 1/21/2026

All 19 static findings are false positives. This is a pure documentation skill providing validation guidance. The scanner misidentified GitHub metadata URLs, schema hash strings, and documentation references as security threats. No executable code, network operations, or file system access beyond normal file reading exists.

2
已掃描檔案
279
分析行數
4
發現項
6
審計總數
低風險問題 (4)
skill-report.json:6
False Positive: Network URL Detection
Scanner flagged GitHub URL in source_url metadata field. This is standard repo metadata, not network code.
SKILL.md:29
False Positive: Path Traversal Sequence
Scanner flagged relative path reference in documentation. This is a doc link, not path traversal exploit.
skill-report.json:11skill-report.json:12
False Positive: C2 Keywords
Scanner flagged SHA256 hash strings and 'claude-code' tool name. These are metadata values, not C2 indicators.
False Positive: Weak Cryptographic Algorithm
Scanner triggered on schema references. No cryptographic implementations exist in this documentation skill.
審計者: claude 查看審計歷史 →

品質評分

38
架構
100
可維護性
87
內容
20
社群
82
安全
91
規範符合性

你能建構什麼

تطوير نقاط نهاية API آمنة

تطبيق التحقق من جانب الخادم على مسارات API، والتحقق من الأنواع والتنسيقات وقواعد العمل قبل معالجة الطلبات. منع هجمات حقن البيانات وضمان سلامة البيانات.

تنفيذ التحقق من النماذج

تنفيذ التحقق الشامل من النماذج مع ملاحظات فورية من جانب العميل وفحوصات أمان من جانب الخادم. إنشاء رسائل خطأ واضحة للمستخدمين.

مراجعة أمان الكود

مراجعة الكود الحالي بحثاً عن ثغرات التحقق من المدخلات. تحديد التحقق المفقود وتنظيف الضعيف وأنماط معالجة الأخطاء غير المتسقة.

試試這些提示

التحقق الأساسي من API 
أضف التحقق إلى نقطة نهاية API هذه التي تتحقق من: وجود الحقول المطلوبة، صحة أنواع البيانات، وجود القيم ضمن النطاقات المتوقعة، وإرجاع رسائل خطأ سهلة الاستخدام لكل فشل تحقق.
منع الحقن 
راجع هذا الكود بحثاً عن ثغرات الحقن. أضف تنظيف المدخلات لمنع حقن SQL و XSS وحقن الأوامر. استخدم التحقق بالقائمة المسموحة حيثما أمكن وهروب المدخلات للسياقات عالية المخاطر.
طبقة التحقق من النماذج 
إنشاء طبقة تحقق لهذا النموذج تشمل: تحقق من جانب العميل للحصول على ملاحظات فورية، تحقق من جانب الخادم للأمان، ورسائل خطأ متسقة تساعد المستخدمين على تصحيح مدخلاتهم.
التحقق من قواعد العمل 
أضف التحقق من قواعد العمل إلى هذه الدالة. تحقق من شروط مثل الرصيد الكافي ونطاقات التواريخ والقيود المنطقية. أرجع رسائل خطأ واضحة تشرح سبب فشل التحقق.

最佳實務

  • دائماً تحقق من جانب الخادم، حتى مع التحقق من جانب العميل لتجربة المستخدم
  • استخدم القوائم المسموحة (القوائم البيضاء) بدلاً من القوائم المحظورة لأنماط التحقق
  • أرجع رسائل خطأ محددة وقابلة للتنفيذ تساعد المستخدمين على تصحيح مدخلاتهم

避免

  • الاعتماد فقط على التحقق من جانب العميل للأمان
  • استخدام القوائم المحظورة لتصفية المدخلات بدلاً من القوائم المسموحة
  • كشف منطق التحقق الحساس أو تفاصيل الأخطاء الداخلية للمستخدمين

常見問題

ما الفرق بين التحقق والتنظيف؟
التحقق يتحقق مما إذا كانت المدخلات تلبي المعايير وترفض البيانات غير الصالحة. التنظيف ينظف أو يهرب المدخلات لإزالة المحتوى الخطير. كلاهما مطلوب: التحقق يرفض البيانات السيئة، والتنظيف يجعل البيانات المتبقية آمنة للاستخدام.
هل يجب التحقق من جانب العميل أم الخادم؟
تحقق من كليهما. التحقق من جانب العميل يحسن تجربة المستخدم مع ملاحظات فورية. التحقق من جانب الخادم يوفر أماناً وسلامة البيانات لأن فحوصات جانب العميل يمكن تجاوزها.
ما هو التحقق بالقائمة المسموحة؟
التحقق بالقائمة المسموحة يحدد ما هو مسموح به ويرفض كل شيء آخر. هذا أكثر أماناً من القوائم المحظورة لأن أنماط الهجوم الجديدة يمكن أن تتجاوز القوائم المحظورة. اقبل فقط القيم المعروفة بالجودة.
كيف أتحقق من مدخلات المستخدم دون أن أكون مقيداً جداً؟
وازن بين الأمان وقابلية الاستخدام. استخدم التحقق الصارم للبيانات الحساسة أمنياً (كلمات المرور، المبالغ). استخدم نطاقات معقولة للبيانات الأخرى. اختبر ببيانات المستخدم الحقيقي لتعديل الحدود.
ما رسائل الخطأ التي يجب أن أعرضها للمستخدمين؟
اعرض رسائل محددة وقابلة للتنفيذ. قل 'يجب أن يتضمن البريد الإلكتروني رمز @' وليس 'مدخل غير صالح'. تجنب التفاصيل التقنية التي قد تساعد المهاجمين. وجه المستخدمين لتصحيح مدخلاتهم.
هل تُنشئ هذه المهارة كود تحقق؟
لا، توفر هذه المهارة أنماطاً إرشادية وأفضل ممارسات لتنفيذ التحقق. أنت تطبق هذه الأنماط عند كتابة الكود الذي يضيف التحقق إلى حالة الاستخدام المحددة الخاصة بك.

開發者詳情

作者

EIS-ITS

授權

MIT

儲存庫

https://github.com/EIS-ITS/vss-cli/tree/main/.claude/skills/global-validation

引用

main

檔案結構

📄 SKILL.md