Drupal 9/10 中必须通过 Composer 管理核心与模块:使用 drupal/recommended-project 模板创建项目,用 composer require 安装模块,用 composer update 升级,自定义代码放 web/modules/custom/ 等目录,严禁手动操作 vendor 或 core。
在 Drupal 9/10 中用 Composer 管理核心和模块,关键不是“能不能装”,而是“怎么装才不踩坑”。核心原则就一条:所有代码必须通过 Composer 声明和安装,禁止手动复制文件或直接改 vendor/core。否则升级、部署、协作都会出问题。
使用官方推荐的项目模板(drupal/recommended-project)
这是最稳妥的起点。它预设了合理的目录结构(web/ 为文档根目录)、自动加载规则和安全约束。
- 运行命令创建新项目:composer create-project drupal/recommended-project mysite
- 它会自动把 Drupal 核心放在 web/ 目录下,而 vendor/ 和 composer.json 在项目根目录——这种分离是必须的
- 不要用 drupal/drupal 模板,它不区分源码与可部署文件,后期升级极难维护
安装模块:永远用 composer require,别用 drush en 或界面启用
启用模块只是激活功能,安装模块才是引入代码。Composer 负责下载、版本锁定、依赖解析;Drush 或后台只是开关。
- 正确方式:composer require drupal/views(自动加到 composer.json 并下载)
- 如果模块有子模块(如 views_ui),也用 composer require drupal/views_ui 单独声明,不要指望主模块自动带
- 避免 --with-dependencies 这类参数,Composer 8+ 已默认处理依赖,显式写反而容易锁死次要版本
- 安装后记得清缓存:drush cr,但别跳过 composer 步骤
升级核心和模块:靠 composer update,不是手动替换
Drupal 9 → 10 或小版本更新(如 10.1 → 10.2),都必须走 Composer 流程,否则 vendor 与 web/ 不一致,站点直接报错。
- 升级前先备份 composer.lock 和数据库
- 升级核心:composer update drupal/core-recommended --with-all-dependencies(推荐用 core-recommended 包,它包含 core + 必需依赖,版本策略更稳)
- 升级单个模块:composer update drupal/pathauto,而不是 composer require drupal/pathauto:^1.10(后者可能重装,丢失本地修改痕迹)
- 执行后务必检查 git status,确认 composer.lock 和 web/modules/contrib/ 下的文件是否同步变更
自定义模块和主题:放对位置,别进 vendor
你写的模块、主题、配置即代码(config split)都不该由 Composer 安装,它们属于项目专属代码,应放在 web/modules/custom/ 或 web/themes/custom/,并纳入 Git 版本管理。
- 不要把自定义代码扔进 vendor/ —— Composer 会把它当第三方包,在 update 时覆盖或删除
- 如果模块依赖某个 PHP 库(比如 Guzzle),在模块的 composer.json 里声明,再用 composer install --no-dev 构建时自动注入,而不是手动拷 vendor
- 想让自定义模块也能被 composer require 安装?可以发布到 Packagist,但对内部项目通常没必要,Git Submodule 或 path repository 更轻量
基本上就这些。不复杂,但容易忽略细节。坚持用 Composer 声明一切、拒绝手动操作、每次变更都提交 lock 文件——项目就能稳着跑好几年。
