--no-scripts仅跳过install/update阶段的用户脚本,不屏蔽pre-install-cmd等核心生命周期钩子、run-script显式调用及插件注册的钩子;需组合--no-autoloader等参数才能彻底静默。
为什么 --no-scripts 有时没生效
很多人加了 --no-scripts 却发现自定义脚本(比如 post-install-cmd)还是执行了,根本原因是:这个参数只跳过 composer install 和 composer update 阶段的脚本,但不跳过 composer dump-autoload 或 composer run-script 的显式调用。更关键的是,如果项目里用了 "scripts": { "pre-install-cmd": [...] } 这类前置钩子,它们属于“安装前触发”,--no-scripts 对其无效——因为 Composer 把这类钩子归为“核心生命周期事件”,而非“用户脚本”。
--no-scripts 实际影响哪些脚本
它只屏蔽 composer.json 中以下字段定义的脚本:
post-install-cmdpost-update-cmd-
pre-install-cmd和pre-update-cmd—— 注意:这是个常见误解,其实 这两个也会被跳过,但仅限于它们被当作“用户脚本”注册时;若通过插件或旧版 Composer 注册为“事件监听器”,则可能绕过该开关
不会跳过的包括:
- 任何在
scripts里手动调用的composer run-script xxx -
dump-autoload触发的post-autoload-dump(除非额外加--no-autoloader) - 第三方插件注册的钩子(如
hirak/prestissimo或自定义 Plugin 类中的activate())
真正想跳过所有脚本?试试组合参数
单靠 --no-scripts 不够保险,尤其在 CI/CD 或构建镜像时需要彻底静默。推荐组合使用:
-
composer install --no-scripts --no-autoloader:避免自动加载器重建触发post-autoload-dump -
composer install --no-scripts --classmap-authoritative:跳脚本的同时启用权威类映射,减少运行时开销 - 如果连
pre-install-cmd都必须禁用,且你控制项目配置,可临时注释掉scripts段再执行,或改用COMPOSER_NO_INTERACTION=1 composer install --no-scripts配合环境变量压制交互类插件行为
composer install --no-scripts --no-autoloader --optimize-autoloader
CI 场景下最稳妥的写法
在 GitHub Actions、GitLab CI 等环境中,建议明确指定锁文件并禁用全部动态行为:
- 始终用
composer install --no-interaction --no-scripts --no-autoloader --prefer-dist - 确保
composer.lock已提交,避免install退化成update - 如果项目依赖某个脚本生成配置(如
php artisan config:clear),不要跳过——而是把这类逻辑移到部署后步骤,而非塞进composer.json
最容易被忽略的一点:Docker 构建中多次 composer install 时,缓存层可能保留上一次执行过的脚本输出,导致误判“没跳过”。实际应检查容器内 vendor/autoload.php 时间戳和终端最后一行是否含脚本日志。
