composer install 根据 composer.lock 安装依赖,确保环境一致,适用于生产部署;composer update 依据 composer.json 更新依赖至最新兼容版本,用于主动升级。前者保证版本稳定,后者推动版本演进,开发中应根据场景选择:新成员克隆后运行 install,需更新时用 update 指定范围,CI/CD 使用 install --no-dev 提升安全性,避免意外升级引发问题。
在使用 Composer 管理 PHP 项目依赖时,composer update 和 composer install 是两个最常用但作用不同的命令。虽然它们都涉及依赖包的处理,但执行逻辑和适用场景有本质区别。
1. composer install:按锁定文件安装依赖
当项目中存在 composer.lock 文件时,composer install 会严格按照该文件中记录的版本号来安装依赖,不会检查是否有新版本。
- 适用于生产环境或团队协作,确保所有人使用完全一致的依赖版本
- 如果本地没有 composer.lock 文件,composer install 会像 update 一样根据 composer.json 解析最新兼容版本,并生成新的 lock 文件
- 部署项目时推荐使用 install,避免因自动升级导致的潜在兼容问题
2. composer update:更新依赖到最新兼容版本
composer update 会忽略 composer.lock 中的版本限制,根据 composer.json 中定义的版本约束(如 ^1.2.0)重新解析并安装当前最新的匹配版本。
- 用于主动升级依赖,获取新功能或安全补丁
- 执行后会更新 composer.lock 文件,反映新的版本信息
- 开发阶段可定期运行以保持依赖更新,但需注意可能引入 Breaking Change
3. 关键差异对比
两者核心区别在于是否尊重 lock 文件:
- composer install:优先使用 lock 文件,保证一致性
- composer update:刷新依赖版本,推动 lock 文件变更
举例来说,若 composer.json 要求 monolog/monolog:^2.0,而 lock 文件记录的是 2.3.0:
- 运行 install:始终安装 2.3.0
- 运行 update:可能升级到 2.9.0(假设是当前最新 2.x 版)
4. 使用建议
理解两者的用途有助于更安全地管理项目依赖:
- 新成员克隆项目后应运行 composer install,确保与团队环境一致
- 需要升级某个包时可运行 composer update vendor/package 指定更新范围
- CI/CD 部署流程中应使用 composer install --no-dev 提高效率并减少风险
- 不要随意提交由 update 生成的 lock 文件变更,需确认升级无副作用
基本上就这些。记住:install 是“安装已确定的依赖”,update 是“寻找并应用更新”。正确使用这两个命令,能有效避免因依赖版本不一致引发的问题。
