直接在 composer.json 中指定精确版本号(如 "monolog/monolog": "2.9.1")即可锁定该包,composer update 不会升级;避免使用 "^"、"~" 等范围符号;配合 composer.lock 和 --lock 可临时跳过安装,但真正锁定仍需固定版本。
直接在 composer.json 中为该包指定精确版本号(如 "monolog/monolog": "2.9.1"),就能有效锁定它,composer update 不会升级这个包。
用固定版本号锁定(最常用)
在 require 或 require-dev 里写死具体版本,不带任何运算符:
-
"phpunit/phpunit": "9.6.13"→ 只接受 9.6.13,不会升到 9.6.14 或 10.x - 避免写成
"^9.6"、"~9.6"或"9.6.*",这些都允许自动更新
用 composer.lock 配合 --lock(临时锁定)
如果只是想跳过某次 update,不改 composer.json:
- 运行
composer update --lock:只更新 lock 文件中的依赖关系,不修改已安装的包 - 但注意:这不会“锁定”某个包,只是跳过安装步骤;真正锁定仍需靠版本号约束
排除特定包更新(按需使用)
执行 update 时临时忽略某个包:
-
composer update --with-dependencies默认会更新整个依赖树 - 想只更新其他包,留着
monolog/monolog不动,就运行:composer update vendor/package other/package—— 列出要更新的包,不写它就行 - 或者更明确:
composer update "laravel/framework" "symfony/console"
验证是否真的锁定了
改完 composer.json 后,可以快速确认效果:
- 运行
composer show monolog/monolog查看当前安装版本 - 再运行
composer update monolog/monolog—— 如果提示 “Nothing to install or update”,说明已锁定成功 - 检查
composer.lock中对应包的version字段是否和composer.json一致
基本上就这些。核心就是别用版本范围符号,写死数字版本最稳。
