会,而且是默认行为。运行 composer update(不带参数)会重新解析 composer.json 约束,拉取最新兼容版本,并完整重写 composer.lock,包含所有依赖的精确版本、哈希值、下载地址及嵌套依赖树。
composer update 会重写 composer.lock 吗?
会,而且是默认行为。只要运行 composer update(不带参数),Composer 就会重新解析所有 composer.json 中的约束,拉取满足条件的最新版本,然后完整重写 composer.lock —— 包括所有依赖的精确版本、哈希值、下载地址和嵌套依赖树。
常见错误现象:composer.lock 提交记录里出现大量变动,CI 构建失败,或团队成员本地 vendor/ 和线上不一致。
- 只更新某几个包?用
composer update vendor/package-a vendor/package-b,其余保持锁定 - 想保留现有 lock 文件结构、只刷新哈希?加
--lock参数(Composer 2.2+),但注意它不会升级版本,只校验并重写元数据 - 误用
composer install时没有composer.lock?它会退化成update行为,自动生成新 lock —— 这是很多“为什么没锁住”的根源
怎么让 composer.lock 真正锁定版本?
靠 composer install,不是靠写死 composer.json 里的 "^1.2.0" 这种写法。Lock 文件的权威性体现在:只要它存在且没被删,install 就严格按它还原,无视 composer.json 中的版本范围变动。
使用场景:CI/CD 构建、生产部署、多人协作开发后期。
- 确保
composer.lock在 Git 中提交 —— 它不是“临时文件”,而是依赖快照 - 修改
composer.json后别直接update;先install看是否报错(比如新 require 的包和 lock 冲突),再决定是否update - CI 脚本里必须用
composer install --no-dev(或对应环境标志),否则可能漏掉 dev-only 包导致行为差异
composer update --lock 是干什么的?
它不升级任何包,只重新生成 composer.lock 文件内容,保持所有包版本完全不变,但刷新哈希、dist URL、platform config 等元信息。适用于 lock 文件损坏、PHP 版本变更后需重签、或从旧 Composer 版本迁移后格式兼容。
性能 / 兼容性影响:极快,不走网络请求(除非插件干预);但仅 Composer 2.2+ 支持,老版本会报错 Unknown option: --lock。
- 不是“安全锁”操作,不能替代
install来保证一致性 - 执行后
composer.lock的content-hash一定会变,Git 会提示修改 - 如果之前用过
composer update --with-all-dependencies或手动改过 lock,这个命令不会回滚那些变更
为什么 composer.lock 里有 packages-dev 却没生效?
因为 composer install 默认会装 require-dev,但很多 CI 或生产环境显式加了 --no-dev,此时 lock 文件里的 packages-dev 区块会被跳过 —— 它只是记录,不强制安装。
容易踩的坑:本地开发能跑通的测试类(比如 phpunit),上线后报 Class not found。
- 检查部署命令是否含
--no-dev;如果需要 dev 包(如某些构建工具),得单独声明--dev或去掉该参数 -
composer.lock本身不区分环境,它同时存了packages和packages-dev;真正控制安装的是命令参数,不是 lock 结构 - 用
composer show --dev可验证当前 vendor 是否包含 dev 包,比翻 lock 文件更直接
composer.lock 当成可选文件,或者以为改了 composer.json 的版本号就等于锁定了——它只是个声明,真正起作用的是 lock 文件是否存在、是否被 install 正确读取。 
