composer require 安装包并自动更新 composer.json 和 composer.lock;需显式指定版本约束、区分 dev/production 依赖、检查冲突后再安装,且必须提交 composer.lock 以保证环境一致性。
直接运行 composer require 就能安装包并自动写入 composer.json,但关键在于理解它背后的行为和常见陷阱。
明确指定版本约束最稳妥
不加版本号会默认安装最新稳定版,可能引入不兼容更新。建议显式声明版本范围:
-
composer require monolog/monolog:^2.9—— 推荐用 caret(^)允许小版本升级 -
composer require guzzlehttp/guzzle:7.8.*—— 锁定次版本下的补丁更新 -
composer require phpunit/phpunit:^10.5—— 避免意外升级到 v11(PHP 版本或 API 可能不兼容)
区分开发依赖与生产依赖
测试、代码分析等工具不应进入线上环境:
-
composer require --dev phpunit/phpunit:^10.5→ 写入require-dev区块 -
composer require laravel/framework(无--dev)→ 默认写入require - 执行后可检查
composer.json确认字段位置是否正确
避免冲突:先看当前环境再安装
盲目添加可能触发版本冲突。推荐三步走:
- 运行
composer show查看已安装包及其版本 - 用
composer prohibits vendor/package:version检查是否与其他依赖冲突(例如:composer prohibits symfony/console:v6.4) - 必要时加
--with-all-dependencies解决深层依赖问题(谨慎使用)
安装后记得提交 composer.lock
composer require 会自动更新 composer.lock,这个文件必须提交到 Git:
- 它锁定所有依赖的确切版本(包括子依赖),保证团队和部署环境一致
- 仅修改
composer.json不提交lock文件,会导致其他人composer install时行为不可控 - CI/CD 流程应始终基于
composer install(非update)来复现依赖
