Composer如何安装PHP依赖包？（新手入门示例）

composer install 按 composer.lock 精确还原依赖，用于部署；composer require 添加新包并安装兼容最新版，用于开发引入功能。

composer install 和 composer require 有什么区别？

composer install 是按项目根目录下的 composer.lock 文件精确还原依赖版本，适合部署或协作开发；composer require 是往 composer.json 添加新包并安装最新兼容版本，适合开发中引入功能。

常见错误现象：在已有项目里乱用 composer require，结果 composer.lock 被更新、CI 构建失败、同事拉代码后环境不一致。

使用场景：

• 本地写新功能时加包 → 用 composer require
• CI/CD 或上线部署 → 只跑 composer install
• 想升级某个包但不碰其他依赖 → composer update vendor/package-name，别直接 composer update

注意：composer install 如果没找到 composer.lock，会退化成 composer update 行为——这常被忽略，导致本地和线上行为不一致。

立即学习“PHP免费学习笔记（深入）”；

require 后提示 “Your requirements could not be resolved” 怎么办？

这是 Composer 解析依赖冲突的典型报错，本质是多个包对同一依赖（比如 guzzlehttp/guzzle）要求了互斥的版本范围。

常见错误现象：执行 composer require laravel/sanctum 却卡住，终端输出一长串无法满足的约束条件。

排查要点：

• 运行 composer why-not vendor/package:version 查哪个包在阻止安装
• 看 composer.json 里是否手动写了过严的 "php": "^8.0" 或 "ext-curl": "*"，而当前环境不满足
• 某些包已弃用或只支持 PHP 8.2+，但你的 composer.json 声明了 "php": "^7.4"，Composer 就会跳过所有高版本候选

临时绕过（仅调试）：composer require vendor/package --with-all-dependencies，但它可能埋下运行时隐患，别提交到 git。

Getsound

基于当前天气条件生成个性化音景音乐

下载

vendor 目录能放到 Web 根目录外吗？

能，而且应该这么做。PHP 的 vendor 目录如果放在 public/ 或 Web 可访问路径下，可能被直接下载暴露源码（比如通过 /vendor/composer/installed.json）。

使用场景：Laravel 默认结构就是 vendor/ 在项目根，public/ 是 Web 入口；WordPress 插件或小型脚本项目容易把整个项目放进 htdocs，这时风险最大。

配置要点：

• 确保 Web 服务器（Nginx/Apache）的 root 指向 public/，不是项目根目录
• 不要改 vendor-dir 配置去“挪走”它——Composer 本身不关心位置，关键是 Web 服务能否访问到
• 如果用 shared hosting 只能上传到 public_html，就把 vendor 放上级目录，再在入口文件里调整 require 路径，例如：require <strong>DIR</strong> . '/../vendor/autoload.php';

性能影响几乎为零；兼容性上，所有现代框架都默认支持这种结构，没必要妥协。

为什么有时候 composer install 很慢，甚至卡在 “Loading composer repositories”？

根本原因是默认源 packagist.org 对国内用户直连不稳定，DNS、TLS 握手或 CDN 节点响应都可能拖慢。

常见错误现象：等两分钟没反应，Ctrl+C 中断后重试又卡住，误以为网络故障或 Composer 坏了。

解决办法：

• 临时切镜像源：composer config -g repo.packagist composer <a href="https://www.php.cn/link/dc02ae8025eef0ecde61b00bb780abdb">https://www.php.cn/link/dc02ae8025eef0ecde61b00bb780abdb</a>（已停用）→ 改用：composer config -g repo.packagist composer <a href="https://www.php.cn/link/3fd3596aef628c388fc86f895d98cf6d">https://www.php.cn/link/3fd3596aef628c388fc86f895d98cf6d</a> 或清华源：<a href="https://www.php.cn/link/dc02ae8025eef0ecde61b00bb780abdb">https://www.php.cn/link/dc02ae8025eef0ecde61b00bb780abdb</a>（确认当前有效地址）
• 项目级设置更安全：composer config repo.packagist composer <a href="https://www.php.cn/link/1569ae888190eb8c53b218b0d529e1e9">https://www.php.cn/link/1569ae888190eb8c53b218b0d529e1e9</a>
• 如果用 GitHub Action，记得在 composer install 前加一步 composer config -g github-oauth.github.com YOUR_TOKEN，否则私有库或高频请求会被限流

别信“删掉 vendor 和 lock 重装就能快”——那只是清缓存的副作用，源头不换，下次还卡。