生产部署必须用 composer install --no-dev --optimize-autoloader --no-interaction 复现已验证的 composer.lock,禁用 composer update 以防版本漂移;需确保 lock 文件存在、platform 版本与服务器 PHP 严格一致、所有声明扩展已安装。
直接用 composer install --no-dev 就能锁定生产环境依赖,但前提是项目里已有 composer.lock 文件且它由 composer install 或 composer update 在一致环境中生成过。
为什么不能在部署时跑 composer update
部署阶段执行 composer update 会忽略 composer.lock,重新解析依赖树,导致版本漂移——哪怕只改了一个小 patch 版本,也可能触发底层包行为变更或 PHP 兼容性问题。线上故障常源于此。
-
composer update是开发阶段行为,用于主动升级依赖 - 部署必须基于已验证的
composer.lock,靠install复现而非计算 - CI/CD 中若先
update再commit lock,需确保 PHP 版本、平台配置(如ext-zip是否启用)与线上完全一致,否则lock文件记录的二进制包可能无法安装
composer install --no-dev --optimize-autoloader --no-interaction 每个参数的作用
这条命令是生产部署的标准组合,缺一不可:
-
--no-dev:跳过require-dev下的所有包(如phpunit、mockery),避免它们被装进线上环境 -
--optimize-autoloader:生成扁平化类映射(vendor/composer/autoload_classmap.php),提升class_exists()和自动加载性能;同时默认启用--apcu-autoloader(PHP 7.4+)如果 APCu 扩展可用 -
--no-interaction:禁用所有交互式提示(如 GitHub token 输入、脚本确认),确保部署脚本不卡住
部署前必须检查的三件事
光写对命令不够,以下任一缺失都会让 install 失败或装错:
-
composer.lock文件必须存在于代码仓库根目录,且 Git 已跟踪(不能被.gitignore忽略) -
composer.json中的platform配置(如"php": "8.1.10")要和目标服务器 PHP 版本严格匹配,否则install会报Your requirements could not be resolved - 服务器上必须已安装所有
composer.json中声明的扩展(如"ext-gd": "*"),否则install会跳过依赖或报错退出
composer install --no-dev --optimize-autoloader --no-interaction
最常被忽略的是 platform 和扩展一致性——很多团队在本地 PHP 8.2 开发,却往 PHP 8.1 的生产机部署,lock 文件里记录的包版本可能根本不存在于 8.1 的 Packagist 元数据中,结果就是安装中断,而不是降级兼容。
