問題說明

我們經常要往現有的項目中添加擴展包，有時候因為文檔的錯誤引導，如下圖來自 這個文檔 的：

composer update 這個命令在我們現在的邏輯中，可能會對項目造成巨大傷害。

因為 composer update 的邏輯是按照 composer.json 指定的擴展包版本規則，把所有擴展包更新到最新版本，註意，是 所有擴展包，舉個例子，你在項目一開始的時候使用了 monolog，當時的配置信息是

"monolog/monolog": "1.*",

• 1

安裝的是 monolog 1.1 版本，而一個多月以後的現在，monolog 已經是 1.2 了，運行命令後直接更新到 1.2，這時項目並沒有針對 1.2 進行過測試，項目一下子變得很不穩定，情況有時候會比這個更糟糕，尤其是在一個龐大的項目中，你沒有對項目寫完整覆蓋測試的情況，什麽東西壞掉了你都不知道。

那應該使用哪個命令呢？install, update 還是 require ？

接下來我們一一解釋。

簡單解釋

composer install - 如有 composer.lock 文件，直接安裝，否則從 composer.json 安裝最新擴展包和依賴；
composer update - 從 composer.json 安裝最新擴展包和依賴；
composer update vendor/package - 從 composer.json 或者對應包的配置，並更新到最新；
composer require new/package - 添加安裝 new/package, 可以指定版本，如： composer require new/package ~2.5.
 

• 1
• 2
• 3
• 4

流程

下來介紹幾個日常生產的流程，來方便加深大家的理解。

流程一：新項目流程
創建 composer.json，並添加依賴到的擴展包；
運行 composer install，安裝擴展包並生成 composer.lock；
提交 composer.lock 到代碼版本控制器中，如：git;

流程二：項目協作者安裝現有項目
克隆項目後，根目錄下直接運行 composer install 從 composer.lock 中安裝 指定版本 的擴展包以及其依賴；

此流程適用於生產環境代碼的部署。

流程三：為項目添加新擴展包

使用 composer require vendor/package 添加擴展包；
提交更新後的 composer.json 和 composer.lock 到代碼版本控制器中，如：git;

關於 composer.lock 文件

composer.lock 文件裏保存著對每一個代碼依賴的版本記錄（見下圖），提交到版本控制器中，並配合composer install 使用，保證了團隊所有協作者開發環境、線上生產環境中運行的代碼版本的一致性。

關於擴展包的安裝方法

那麽，準備添加一個擴展包，install, update, require 三個命令都可以用來安裝擴展包，選擇哪一個才是正確的呢？

答案是：使用 composer require 命令

另外，在手動修改 composer.json 添加擴展包後，composer update new/package 進行指定擴展包更新的方式，也可以正確的安裝，不過不建議使用這種方法，因為，一旦你忘記敲定後面的擴展包名，就會進入萬劫不復的狀態，別給自己留坑呀。

上面的概念不論對新手或者老手來說，都比較混淆，主要記住這個概念：

原有項目新添加擴展的，都使用 composer require new/package 這種方式來安裝。

需要加版本的話

composer require "foo/bar:1.0.0"

• 1

更新指定擴展到指定版本

有時候你之前使用過的擴展包，加入了新功能，你想更新單獨這個擴展包到指定版本，也可以使用 require 來操作。

如下面例子，需要更新 “sami/sami”: “3.0.” 到 “sami/sami”: “3.2.”

命令行運行：

Composer 擴展包安裝方法