composer install --no-scripts 是唯一官方支持的跳过所有脚本方式,可防止 post-install-cmd 等钩子在 ci 等无交互环境中引发故障,删 scripts 字段或误用 --no-dev 均无效。
composer install 怎么跳过所有脚本执行
直接加 --no-scripts 参数就行。这是 Composer 唯一、明确、被文档支持的禁用脚本方式,不是 hack,也不依赖环境变量或配置项。
常见错误是只改 composer.json 里的 "scripts" 字段(比如清空或注释掉),这完全无效——Composer 仍会读取并尝试运行它们;还有人误以为 --no-dev 能关脚本,其实它只影响 require-dev 包的安装,对脚本零影响。
-
composer install --no-scripts:跳过所有脚本,包括post-install-cmd、pre-autoload-dump等 - 如果已锁定了
composer.lock,且想确保不执行任何钩子(比如 CI 环境),必须显式带上该参数;仅靠COMPOSER_NO_INTERACTION=1或--quiet不起作用 - 该参数不影响自动加载器生成(
autoload.php还是会写),但会跳过依赖安装后常被滥用的“自动执行迁移”“清缓存”“生成配置”等脚本
为什么不能靠删 scripts 或设为空数组来禁用
因为 Composer 的脚本执行逻辑和配置解析是分离的:"scripts" 字段只是声明,是否执行由命令参数或全局配置决定,不是“没定义就不跑”。哪怕你把整个 "scripts" 字段从 composer.json 中删掉,只要命令没加 --no-scripts,它就什么也不报错、什么也不做——但这不是“禁用”,而是“没东西可跑”,跟主动跳过有本质区别。
更危险的是:很多项目在 composer.json 里写了 "scripts": {"post-install-cmd": "php artisan optimize"} 这类命令,你以为删掉字段就安全了?错。如果别人提交了带脚本的 lock 文件,或者你用了 composer update 后重新生成 lock,脚本又回来了,而你根本没意识到。
- 删
"scripts"是临时掩盖问题,不是控制行为 -
"scripts": {}或"scripts": []同样无效,Composer 会忽略空对象/数组,但不会因此关闭执行开关 - 真正可控的只有命令行参数或
COMPOSER_NO_SCRIPTS=1环境变量(后者等价于--no-scripts)
CI/CD 场景下必须加 --no-scripts 的真实原因
不是为了“省时间”,而是防止非预期副作用。比如某包的 post-install-cmd 会尝试连接数据库、写入本地 .env、调用外部 API,或执行需要交互的命令(如确认提示)。CI 环境通常没配 DB、没权限写文件、也没 stdin 可响应,结果就是 composer install 卡住或报错退出。
另一个典型坑是:某些脚本依赖开发时才有的全局二进制(如 php-cs-fixer),但 CI 镜像里没装,导致安装失败——而这个失败和依赖本身无关,纯粹是脚本惹的祸。
- GitHub Actions、GitLab CI、Jenkins 等默认不带
--no-scripts,必须显式加 - 如果你用
composer install --no-interaction --no-progress --no-scripts,三者缺一不可:--no-interaction防卡住,--no-progress减少日志噪音,--no-scripts才是防执行的核心 - 别信“我们项目没写脚本所以不用加”——你控制不了所依赖的第三方包有没有脚本
composer create-project 和 update 也要加 --no-scripts 吗
要。只要命令最终会触发脚本生命周期(install/update/create-project 都会),就必须加。特别是 create-project,它本质是先 git clone 或下载 ZIP,再跑一次 composer install,默认就会执行 post-create-project-cmd ——而这个钩子经常被用来删 .git、重写 README、甚至执行 npm install,一旦失控,新建项目就可能出错或污染环境。
-
composer create-project vendor/name --no-scripts:跳过创建后的所有脚本 -
composer update --no-scripts:跳过 update 触发的pre-update-cmd、post-update-cmd等 - 注意:
--no-scripts不影响插件(Plugin)行为,插件是另一套机制;如果插件本身也执行危险操作,得单独处理(比如禁用插件)
脚本不是“可有可无的附加功能”,它是 Composer 生命周期里具备完整执行权限的一环。禁用它不是保守,而是明确划清边界:我只要代码和 autoloader,别的都别碰。这点在共享环境、自动化流程、安全审计中,一点都不能含糊。
