可靠冻结包版本只能写死 require 版本号或提交 composer.lock:--without 会破坏依赖树,replace/provide 有运行时风险,手动改 lock 会导致校验失败,platform 配置和插件可能干扰冻结效果。
更新时跳过某个包:用 --with-dependencies 不行,得用 --without
Composer 默认更新全部依赖,没有“黑名单”式跳过选项。想跳过 monolog/monolog 或 laravel/framework 这类包,不能靠 composer update --with-dependencies(它反而会强制更新子依赖),必须显式排除:
-
composer update --without=monolog/monolog—— 跳过该包及其所有子依赖(慎用,可能破坏依赖树) -
composer update --without=monolog/monolog --with=monolog/monolog:2.9.0—— 先排除再精确锁定版本(绕过自动升级) - 若包被其他依赖硬依赖(如
symfony/console强制要求symfony/polyfill-php81),--without会报错退出,此时只能改composer.json
永久跳过更新:在 composer.json 中用 "replace" 或 "provide"
对某些包(比如你自行 fork 并 patch 的 guzzlehttp/guzzle),希望 Composer 完全无视官方版本、不检查更新也不写入 composer.lock,可用 "replace" 声明已“提供”该包:
{
"replace": {
"guzzlehttp/guzzle": "*"
}
}
注意:"replace" 后 Composer 会认为该包已存在,不再安装或更新;但若其他包声明了 "require": {"guzzlehttp/guzzle": "^7.0"},而你本地没装,运行时会出错——它只跳过安装逻辑,不解决运行时缺失。
更安全的做法是用 "provide"(仅声明能力,不替代安装)配合 "repositories" 指向私有源:
{
"repositories": [
{
"type": "vcs",
"url": "https://github.com/yourname/guzzle"
}
],
"require": {
"guzzlehttp/guzzle": "dev-patched as 7.5.0"
},
"provide": {
"guzzlehttp/guzzle": "7.5.0"
}
}
手动编辑 composer.lock 是高危操作
直接删掉 composer.lock 里某包的条目,或把 "version" 改成旧值,看似能“冻结”,但后果严重:
- 下次
composer install会因哈希校验失败中止(lock file is not up to date) - 修改后未运行
composer update --lock,会导致vendor/与lock不一致,CI 环境可能静默失败 - 若该包被其他包的
"require"引用,Composer 会在下次update时强行重装,你的修改白费
唯一合法的手动干预方式是:先用 composer update --dry-run 确认变更范围,再执行 composer update vendor/package-name --no-install(只更新 lock,不改 vendor),最后检查 diff。
composer.lock 冻结后仍被更新?检查 "platform" 和插件干扰
即使锁定了 "monolog/monolog": "2.8.0",更新时它仍升到 2.9.0,常见原因有:
-
"platform"配置覆盖了 PHP 扩展要求,导致 Composer 选择更高兼容版本(例如设"ext-xml": "8.2.0"但实际是 8.1,触发降级 fallback) - 启用了
composer-unused或composer-normalize插件,它们可能在 update 后自动重写 lock -
composer.json中该包版本约束太宽(如"^2.0"),而 lock 文件未提交到 Git,团队成员本地生成了新 lock
验证方式:运行 composer show monolog/monolog 看当前解析版本,再对比 git status composer.lock 是否被意外修改过。
真正可靠的冻结,只有两条路:用 "require" 写死具体版本("2.8.0" 而非 "^2.8"),或用 composer update --lock + 提交 lock 文件到版本库——别信“改完 lock 就完事”这种省事想法。
