线上环境应使用 composer install,因为它依据 composer.lock 文件安装确定版本的依赖,确保每次部署依赖一致,避免因版本差异引发故障;而 composer update 会升级依赖至最新兼容版,可能导致不兼容或行为异常,破坏线上稳定性;正确流程是开发时在本地执行 composer update 并测试后提交更新的 composer.lock,线上仅运行 composer install --no-dev --optimize-autoloader,以保障部署可靠、高效。
在线上环境部署时,应该使用 composer install,而不是 composer update。
为什么用 composer install?
composer install 会根据项目根目录下的 composer.lock 文件精确安装已锁定的依赖版本。这意味着:
- 每次部署安装的依赖版本完全一致,避免因版本差异导致的线上问题
- 部署过程更稳定、可预测,符合线上环境对可靠性的要求
- composer.lock 文件应提交到版本控制系统中,确保团队和服务器使用相同依赖
为什么不能用 composer update?
composer update 会根据 composer.json 中的版本约束,尝试升级所有依赖到最新兼容版本。这在线上环境非常危险,因为:
- 可能引入不兼容的更新,导致应用崩溃或行为异常
- 不同时间部署可能使用不同版本的包,破坏一致性
- 无法保证测试过的依赖组合被准确还原
正确的流程应该是怎样的?
开发阶段在本地运行 composer update 来更新依赖,并测试通过后,提交更新后的 composer.lock 文件。线上部署时只需执行:
composer install --no-dev --optimize-autoloader- --no-dev:不安装开发依赖(如 PHPUnit、PHPStan 等),减小生产环境体积
- --optimize-autoloader:优化类自动加载,提升性能
