composer install根据lock文件安装依赖,确保环境一致;composer update更新依赖至最新兼容版本,改变lock文件。生产环境用install,升级时用update。
在使用 Composer 管理 PHP 项目依赖时,composer install 和 composer update 是两个常用命令,它们的作用不同,适用场景也不同。
composer install:按 lock 文件安装依赖
这个命令的作用是根据项目根目录下的 composer.lock 文件来安装依赖包。
- 如果当前项目已经有 composer.lock 文件,Composer 会严格按照该文件中记录的版本号安装依赖,确保所有开发者使用的依赖版本一致。
- 如果没有 composer.lock 文件(比如新项目首次安装),Composer 会读取 composer.json 中的版本约束,解析出最新的兼容版本,下载依赖,并生成一个 composer.lock 文件。
- 适用于生产环境或团队协作开发,保证部署一致性。
composer update:更新依赖到最新兼容版本
这个命令会重新解析 composer.json 中定义的版本约束,并将所有依赖(包括嵌套依赖)更新到当前符合约束的最新版本。
- 会忽略 composer.lock 文件的内容,重新计算依赖树。
- 执行后,composer.lock 文件会被更新,反映新的依赖版本。
- 通常用于主动升级依赖包,比如获取新功能或安全补丁。
关键区别总结
- composer install 尊重 lock 文件,追求稳定和一致;没有 lock 文件时才进行版本解析。
- composer update 主动更新依赖,改变 lock 文件内容,可能导致版本跳跃。
- 在生产环境中推荐使用 composer install --no-dev,避免安装开发依赖。
- 提交代码时,应把 composer.lock 文件一并提交,这样其他开发者运行 composer install 时能得到完全相同的依赖环境。
