技术博客
composer outdated 不是“查有没有新版本”,而是查“有没有满足你当前版本约束的新版本”。
比如你在 composer.json 里写的是 "monolog/monolog": "^2.0",那它只关心 2.x 范围内的最新版(如 2.10.0),不会告诉你 3.0.0 已发布——哪怕 3.0.0 更安全、功能更强。
Composer 支持通过 path 类型仓库直接加载本地文件系统中的包,不需要发布到 Packagist 或私有服务器。这适用于你正在开发一个扩展包(比如 mycompany/laravel-widget),同时在另一个项目里调试它。
Composer 插件不是靠命令行临时启用的,必须在 composer.json 中声明依赖并指定类型。如果只用 composer require 装包但没配对类型,插件大概率不会生效。
它只管开发时用的代码,比如测试类、命令行工具、Mock 类——这些不该进生产包。Composer 不会把 autoload-dev 里的内容打包进 vendor/autoload.php 的主加载逻辑里,而是单独挂到 dev 模式下。
直接运行 composer show 就能看到当前项目里所有已安装的包及其版本,这是最轻量、最可靠的实时查看方式。它不依赖 lock 文件是否完整,也不要求 vendor 目录存在(只要 composer.json 在就行)。
直接装 dev- 开头的版本名就行,Composer 会自动识别为开发分支而非稳定版。比如想装 monolog/monolog 的 main 分支,命令是:composer require monolog/monolog:dev-main注意不是 dev-main@dev,也不是加 –stability=dev——后者只影响依赖解析策略,不指定具体分支。
直接运行 composer graph 会报错:Command "graph" is not defined. —— 因为它根本不是 Composer 内置命令。你看到的教程或博客里写的这个命令,基本都依赖第三方插件,最常用的是 graphviz + composer-dependency-graph 或 phpstan/dependency-injection 的衍生工具,但主流方案其实是 roave/composer-dependency-analyzer 配合可视化导出,或者更轻量的 composer show –tree。
Composer 本身不支持“为单个项目单独配置授权码”,所谓“项目授权码”其实是通过 auth.json 文件在项目目录或全局位置声明凭证,让 Composer 在访问私有仓库(如 Packagist.com 私有包、GitHub Packages、GitLab Composer Registry)时能自动携带 token 认证。
Composer 在 Windows 下不需要“配置环境变量”也能用,但加了之后才能全局调用 composer 命令——关键不是“能不能装”,而是“在哪能敲命令”。
PHP 项目里,.env、vendor/、composer.lock(视情况)、缓存目录、日志文件这些默认不该进 Git。忽略它们不是靠删掉或手动跳过,而是靠 .gitignore 文件统一声明。