composer install 根据 composer.lock 安装依赖,确保环境一致;composer update 按 composer.json 升级依赖并更新 lock 文件,适用于主动升级场景。
当你使用 Composer 管理 PHP 项目的依赖时,经常会遇到 composer update 和 composer install 这两个命令。它们看起来相似,但作用完全不同。理解它们的区别,能帮助你更安全、高效地管理项目依赖。
composer install:按 lock 文件安装依赖
这个命令的核心作用是根据项目根目录下的 composer.lock 文件,安装确切版本的依赖包。
说明:
- 如果当前项目中没有 composer.lock 文件,Composer 会读取 composer.json,解析依赖关系,下载符合要求的最新版本,并生成一个新的 composer.lock 文件。
- 如果已经存在 composer.lock,Composer 会严格按照其中记录的版本号安装,确保每次安装的依赖完全一致。
适用场景:
- 团队协作开发时,新成员克隆项目后运行 composer install,可以确保大家使用完全相同的依赖版本。
- 生产环境部署时,应始终使用 composer install,避免因自动升级依赖导致意外行为。
composer update:更新依赖到最新兼容版本
这个命令会忽略 composer.lock 文件,重新检查 composer.json 中定义的版本约束,尝试将所有依赖升级到符合条件的最新版本。
说明:
- 执行后,Composer 会重新计算依赖关系,下载更新后的包,并生成新的 composer.lock 文件。
- 它可能引入新的功能、修复或潜在的不兼容变更。
适用场景:
- 你想主动升级项目依赖,例如获取某个库的安全补丁或新功能。
- 开发阶段,在测试充分的前提下更新依赖。
关键区别总结
两者最根本的不同在于是否尊重 composer.lock 文件:
- install 尊重 lock 文件,追求稳定和一致性。
- update 忽略 lock 文件,追求依赖的最新状态。
另一个重要点是:只有 composer update 会修改 composer.lock 文件内容,而 composer install 只会读取它。
实际使用建议
在日常开发中,推荐以下做法:
- 刚创建项目或添加新包后,可运行 composer require xxx,它会自动更新依赖并生成/更新 lock 文件。
- 团队共享项目时,composer.lock 应该提交到版本控制(如 Git),保证所有人环境一致。
- 部署到线上服务器时,始终使用 composer install --no-dev,快速、稳定地安装指定版本。
- 手动运行 composer update 要谨慎,最好在测试环境中验证后再合并到主分支。
基本上就这些。记住:install 是“照单抓药”,update 是“刷新处方”。用对时机,才能让项目平稳运行。
