composer install 按 composer.lock 精确还原依赖,用于部署;composer require 添加新包并安装兼容最新版,用于开发引入功能。

composer install 和 composer require 有什么区别?
composer install 是按项目根目录下的 composer.lock 文件精确还原依赖版本,适合部署或协作开发;composer require 是往 composer.json 添加新包并安装最新兼容版本,适合开发中引入功能。
常见错误现象:在已有项目里乱用 composer require,结果 composer.lock 被更新、CI 构建失败、同事拉代码后环境不一致。
使用场景:
- 本地写新功能时加包 → 用
composer require - CI/CD 或上线部署 → 只跑
composer install - 想升级某个包但不碰其他依赖 →
composer update vendor/package-name,别直接composer update
注意:composer install 如果没找到 composer.lock,会退化成 composer update 行为——这常被忽略,导致本地和线上行为不一致。
立即学习“PHP免费学习笔记(深入)”;
require 后提示 “Your requirements could not be resolved” 怎么办?
这是 Composer 解析依赖冲突的典型报错,本质是多个包对同一依赖(比如 guzzlehttp/guzzle)要求了互斥的版本范围。
常见错误现象:执行 composer require laravel/sanctum 却卡住,终端输出一长串无法满足的约束条件。
排查要点:
- 运行
composer why-not vendor/package:version查哪个包在阻止安装 - 看
composer.json里是否手动写了过严的"php": "^8.0"或"ext-curl": "*",而当前环境不满足 - 某些包已弃用或只支持 PHP 8.2+,但你的
composer.json声明了"php": "^7.4",Composer 就会跳过所有高版本候选
临时绕过(仅调试):composer require vendor/package --with-all-dependencies,但它可能埋下运行时隐患,别提交到 git。
vendor 目录能放到 Web 根目录外吗?
能,而且应该这么做。PHP 的 vendor 目录如果放在 public/ 或 Web 可访问路径下,可能被直接下载暴露源码(比如通过 /vendor/composer/installed.json)。
使用场景:Laravel 默认结构就是 vendor/ 在项目根,public/ 是 Web 入口;WordPress 插件或小型脚本项目容易把整个项目放进 htdocs,这时风险最大。
配置要点:
- 确保 Web 服务器(Nginx/Apache)的 root 指向
public/,不是项目根目录 - 不要改
vendor-dir配置去“挪走”它——Composer 本身不关心位置,关键是 Web 服务能否访问到 - 如果用 shared hosting 只能上传到
public_html,就把vendor放上级目录,再在入口文件里调整require路径,例如:require <strong>DIR</strong> . '/../vendor/autoload.php';
性能影响几乎为零;兼容性上,所有现代框架都默认支持这种结构,没必要妥协。
为什么有时候 composer install 很慢,甚至卡在 “Loading composer repositories”?
根本原因是默认源 packagist.org 对国内用户直连不稳定,DNS、TLS 握手或 CDN 节点响应都可能拖慢。
常见错误现象:等两分钟没反应,Ctrl+C 中断后重试又卡住,误以为网络故障或 Composer 坏了。
解决办法:
- 临时切镜像源:
composer config -g repo.packagist composer <a href="https://www.php.cn/link/dc02ae8025eef0ecde61b00bb780abdb">https://www.php.cn/link/dc02ae8025eef0ecde61b00bb780abdb</a>(已停用)→ 改用:composer config -g repo.packagist composer <a href="https://www.php.cn/link/3fd3596aef628c388fc86f895d98cf6d">https://www.php.cn/link/3fd3596aef628c388fc86f895d98cf6d</a>或清华源:<a href="https://www.php.cn/link/dc02ae8025eef0ecde61b00bb780abdb">https://www.php.cn/link/dc02ae8025eef0ecde61b00bb780abdb</a>(确认当前有效地址) - 项目级设置更安全:
composer config repo.packagist composer <a href="https://www.php.cn/link/1569ae888190eb8c53b218b0d529e1e9">https://www.php.cn/link/1569ae888190eb8c53b218b0d529e1e9</a> - 如果用 GitHub Action,记得在
composer install前加一步composer config -g github-oauth.github.com YOUR_TOKEN,否则私有库或高频请求会被限流
别信“删掉 vendor 和 lock 重装就能快”——那只是清缓存的副作用,源头不换,下次还卡。











