exclude-from-classmap仅对classmap自动加载生效,需在autoload.classmap存在时配置相对路径或通配符,对psr-4/psr-0、files等无效;生产隔离须结合目录迁移、.gitattributes或构建脚本。
composer.json 里的 exclude-from-classmap 怎么写才生效
它只对 classmap 自动加载方式起作用,不是全局“忽略文件”。如果你用的是 psr-4 或 psr-0,这个配置完全没用——那些文件压根不会被扫描进 classmap,自然也谈不上“排除”。
常见错误是把测试文件、Mock 类、或者临时脚本扔进 src/ 目录后,想靠 exclude-from-classmap 阻止它们被加载,结果发现 composer dump-autoload 后照样能 new 出来。原因就是这些类已经被 psr-4 映射了,根本没走 classmap。
- 只在
"autoload": { "classmap": [...] }存在时才有效 - 路径必须相对于
composer.json所在目录(通常是项目根) - 支持通配符:
"exclude-from-classmap": ["tests/", "src/Deprecated*", "build/*"] - 排除后,
composer dump-autoload -o生成的优化 autoloader 里也不会包含这些路径下的类
autoload-dev 和 exclude-from-classmap 能一起用吗
可以,但要注意顺序和意图。开发专用的自动加载规则(比如 autoload-dev 下的 psr-4)不受 exclude-from-classmap 影响;反过来,如果你把某个测试目录同时加进了 classmap 和 autoload-dev,那 exclude-from-classmap 只管前者。
典型场景:你想让 tests/ 在开发时可自动加载(方便 PHPUnit 找 TestCase),但又不希望它被打包进生产 classmap。这时候应该:
- 别把
tests/加进autoload.classmap - 只放在
autoload-dev.psr-4里:"autoload-dev": { "psr-4": { "Tests\": "tests/" } } - 这样既保证开发可用,又天然避开 classmap 排除逻辑的干扰
为什么 composer dump-autoload 后文件还是被加载了
大概率是你没搞清 Composer 的自动加载机制分层。最常踩的坑是:以为加了 exclude-from-classmap 就能屏蔽所有加载路径,其实它只是 classmap 层的“过滤器”,而 PSR 规则、files 加载、甚至 require 的普通 PHP 文件,都不受其约束。
排查步骤:
- 运行
composer show -p看当前启用的 autoload 类型 - 检查
vendor/composer/autoload_classmap.php是否还包含你认为该被排除的类名(若存在,说明exclude-from-classmap没命中路径) - 用
grep -r "YourClassName" vendor/composer/确认它从哪条规则加载的 - 如果类来自
autoload.files,那唯一办法是删掉那一行或改用条件加载
生产环境要彻底隔离某些文件,光靠 exclude 不够
exclude-from-classmap 只影响自动加载器生成,不阻止文件被 require、include 或直接读取。比如一个 config.local.php 被 autoload.files 引入,即使加了 exclude,它照样执行;再比如 docker-entrypoint.sh 放在 src/ 下,虽然不会被 autoload,但打包进镜像后依然存在。
真正需要“物理隔离”的场景,得靠其他手段:
- 把敏感或非代码文件移出
autoload覆盖范围(如放到resources/或etc/) - 用
.gitattributes配合export-ignore,防止被git archive或某些部署工具打包 - CI/CD 中用
rsync --exclude或构建脚本清理无关文件 - Composer 本身不提供“编译期剔除文件”的能力,这点容易高估它的作用
exclude 是 autoload 层的开关,不是文件系统的访问控制。想让它管住所有入口,本身就设错了预期。
