composer install按lock文件安装依赖确保环境一致,适合生产与协作;composer update根据json更新依赖到最新版本,适合开发阶段手动升级。
这两个命令都用于管理 PHP 项目的依赖,但它们的使用场景和行为有本质不同。
composer install:按锁文件安装依赖
当你运行 composer install 时,Composer 会优先查看项目根目录下的 composer.lock 文件。
如果这个文件存在,Composer 会严格按照 lock 文件中记录的版本号来安装依赖,确保所有开发者和生产环境使用完全相同的依赖版本。
- 适合部署生产环境或团队协作开发
- 如果没有 composer.lock 文件,Composer 会先解析 composer.json,生成 lock 文件,再安装
- 目标是保证依赖的一致性和可重复性
composer update:更新依赖到最新匹配版本
composer update 的作用是根据 composer.json 中定义的版本约束,将所有依赖升级到当前允许的最新版本。
它会忽略 composer.lock 文件中的旧版本记录,重新计算依赖关系,并生成新的 lock 文件。
- 适合主动升级依赖库(比如修复安全漏洞或引入新功能)
- 可能导致不同人执行后得到不同的结果,除非版本约束很严格
- 通常在开发阶段手动触发,不建议在生产环境随意使用
关键区别总结
本质区别在于是否尊重已有的版本锁定:
- install 是“照方抓药”——按 lock 文件精确安装
- update 是“重新开方”——根据规则寻找最新可用版本
- 新项目克隆后应使用 install;需要升级依赖时才用 update
基本上就这些。日常开发中,你多数时候应该用 composer install,只有在明确需要更新依赖时才运行 composer update。
