技术博客
不会自动清空,但行为取决于锁文件和依赖声明。只要 composer.lock 存在且没被删,composer update 默认只更新满足 composer.json 版本约束的包,并复用 lock 文件里记录的精确版本(除非你指定要升级某包)。真正“重装 vendor”的其实是 composer install 在没有 lock 文件时的行为——它会按 composer.json 解析最新兼容版本,结果反而更不可控。
因为 composer outdated 默认只检查已安装到 vendor/ 的包,且按当前 composer.lock 解析依赖树——它不重新解析 composer.json 的约束,而是基于锁文件“快照”比对 Packagist 上的最新可用版本。如果你刚改了 composer.json 但没运行 composer update 或 composer install,锁文件没更新,结果就滞后。
只要 composer.lock 文件还在,composer install 就会严格按它还原依赖,根本不需要“回滚命令”。很多人误以为要执行什么特殊操作,其实只是没意识到锁文件才是真相。
默认情况下 composer install 会安装 require 和 require-dev 里的全部包,哪怕你只是上线部署——这不仅拖慢速度,还可能引入测试工具、调试器等不该出现在生产环境的代码。
这是 Composer 用来指定访问 GitHub 仓库时默认协议的配置项,控制 composer install 或 composer update 过程中 Git 克隆依赖所用的 URL 方式。它不改变你本地 Git 的全局设置,只影响 Composer 自己生成的仓库地址(比如从 packagist.org 解析出的 github.com/user/repo)。
直接运行 composer licenses 就能输出所有已安装包的许可证类型和链接。这个命令是 Composer 内置的,不需要额外插件,但只在 2.2+ 版本可用;低于这个版本会报错 Command "licenses" is not defined。
因为 php -S 启动的是纯HTTP服务器,它只按路由规则转发请求,完全不加载 vendor/autoload.php —— 你写的 use AppClass 在入口文件里会直接报 Class not found,哪怕 composer dump-autoload 过也没用。
想确认某个包装了没、装的什么版本、依赖了谁,composer show 是唯一需要记住的命令。它不查锁文件也不读配置,只看 vendor/ 里真实存在的包,结果最可信。
根本原因是 Composer 默认启用 file:// 协议读取本地包(如 path 类型仓库),而 NFS 对文件锁、stat 和 symlink 的语义支持不一致,导致 composer install 反复重试或阻塞在 is_dir()、file_exists() 等调用上。
离线环境下 composer install 必然失败——它默认要连 Packagist 或私库拉取元数据和 ZIP 包。但你其实不需要网络,只要提前在有网机器上完成两件事:composer install –no-scripts –no-plugins 生成完整 vendor/,再把整个项目(含 vendor/ 和 composer.lock)打包带走。