首先确认 Composer 版本不低于 2.5,通过 composer --version 查看,若版本过低则运行 composer self-update 升级。在项目根目录执行 composer audit,该命令会检查 composer.lock 中的依赖包,并与 GitHub Security Advisory 等安全数据库比对,报告存在已知漏洞的包,包括漏洞描述、严重等级、CVE 编号及修复建议。根据提示使用 composer update vendor/package-name 更新特定包或整体更新以修复漏洞,更新后再次运行 composer audit 验证修复效果。如仅需检查生产环境依赖,可使用 composer audit --no-dev。定期执行此命令有助于及时发现并处理第三方库的安全隐患,提升项目安全性。
要使用 Composer audit 检查 PHP 项目中的安全漏洞,前提是你的 Composer 版本已支持该命令。从 Composer 2.5 版本开始,内置了 audit 命令,用于检测项目依赖中存在的已知安全问题。
确认 Composer 版本
打开终端运行以下命令:
composer --version确保版本号不低于 2.5。如果版本过低,需先升级 Composer:
composer self-update运行 Composer audit 检查漏洞
在项目根目录(即 composer.json 所在目录)执行:
该命令会自动检查 composer.lock 文件中所有已安装的依赖包,与公开的安全数据库(如 GitHub Security Advisory 和 FriendsOfPHP/security-advisories)进行比对,报告存在已知漏洞的包。
查看详细报告并处理问题
执行后,你会看到类似以下信息:
- 发现某个依赖包存在高危漏洞
- 列出漏洞描述、严重等级、CVE 编号和修复建议
- 提示可升级到的安全版本
根据提示更新受影响的包:
Shopxp网上购物系统
下载
Shopxp购物系统历经多年的考验,并在推出shopxp免费购物系统下载之后,收到用户反馈的各种安全、漏洞、BUG、使用问题进行多次修补,已经从成熟迈向经典,再好的系统也会有问题,在完善的系统也从在安全漏洞,该系统完全开源可编辑,当您下载这套商城系统之后,可以结合自身的技术情况,进行开发完善,当然您如果有更好的建议可从官方网站提交给我们。Shopxp网上购物系统完整可用,无任何收费项目。该系统经过
若多个包受影响,可考虑整体更新:
composer update更新后再次运行 composer audit 确认问题是否解决。
审计生产环境依赖
默认情况下,composer audit 会同时检查开发和生产依赖。若只想检查生产环境依赖(不含 require-dev),使用:
这在部署前做安全检查时非常有用。
基本上就这些。定期运行 composer audit 能帮助你及时发现并修复第三方库的安全隐患,提升项目安全性。不复杂但容易忽略。
