Laravel部署需严格匹配PHP版本与核心扩展:Laravel 10要求PHP≥8.1、Laravel 11要求PHP≥8.2;必须启用mbstring、openssl、pdo及对应数据库驱动、tokenizer、xml;Web服务器须禁用.env等敏感路径访问;务必启用OPcache与APCu提升性能;storage/和bootstrap/cache/需正确设置权限与SELinux上下文;APP_KEY须首次部署生成并固化;debug=false与app.debug=false必须同时设为false。
PHP 版本和核心扩展必须匹配 Laravel 版本
Laravel 对 PHP 版本有硬性要求,比如 Laravel 10 要求 PHP >= 8.1,Laravel 11 已要求 PHP >= 8.2。装错版本会导致 composer install 直接失败,或运行时抛出 ParseError: syntax error, unexpected token 这类致命错误。
必须启用的 PHP 扩展(缺一不可):
-
mbstring:Laravel 字符串处理、路由解析、表单验证全依赖它 -
openssl:HTTPS 请求、JWT 签名、Composer 包下载都绕不开 -
pdo+ 对应数据库驱动(如pdo_mysql或pdo_pgsql):Eloquent 底层驱动,没它连php artisan migrate都执行不了 -
tokenizer:Laravel 的 Blade 编译、Artisan 命令解析都需要它,漏掉会报Class "Illuminate\Foundation\Application" not found -
xml:部分包(如symfony/console、RSS feed 生成)隐式依赖,线上偶尔触发但本地不显
推荐但非强制的扩展:ctype(字符串类型判断)、json(已默认开启,确认未被禁用)、zip(php artisan storage:link 和部分部署脚本需要)。
Web 服务器要禁用 .env 和敏感路径的直接访问
Nginx/Apache 若配置不当,用户可通过 https://yourblog.com/.env 直接下载环境文件,数据库密码、APP_KEY 全暴露。这不是 Laravel 的问题,是部署疏忽。
立即学习“PHP免费学习笔记(深入)”;
Nginx 示例(放在 server 块内):
location ~ /\.(env|htaccess|htpasswd|git|svn|log|cache) {
deny all;
}
Apache 用户确保 .htaccess 在 public/ 下生效,并在主配置中启用了 AllowOverride All;否则 public/.htaccess 会被忽略,导致所有请求 404。
额外注意:storage/ 和 bootstrap/cache/ 必须禁止 Web 访问,它们存放日志、缓存、服务容器快照,含路径和类名信息,可辅助攻击者探测框架结构。
OPcache 和 APCu 是性能分水岭,不是“可选优化”
没开 OPcache,Laravel 每次请求都要重编译全部 PHP 文件(含 vendor 中数千个类),首页 TTFB 动辄 800ms+;开了之后稳定在 80–150ms。这不是理论值,是真实压测差异。
OPcache 最小可用配置(写入 php.ini):
opcache.enable=1 opcache.memory_consumption=256 opcache.max_accelerated_files=20000 opcache.validate_timestamps=0 ; 上线后务必关掉,否则每次请求都检查文件修改时间 opcache.save_comments=1 opcache.fast_shutdown=1
APCu(用于 Laravel 的缓存驱动)需单独启用:extension=apcu.so(Linux)或 extension=php_apcu.dll(Windows),然后在 .env 中设 CACHE_DRIVER=apc。别用 file 驱动上线——并发写文件锁会导致请求排队。
权限和 SELinux/ACL 常被忽略,但一出就是 500 错误
Laravel 要求 storage/ 和 bootstrap/cache/ 可写,但很多人只改了 owner 却没处理 SELinux 上下文(CentOS/RHEL 默认开启):
- 先设权限:
chown -R www-data:www-data storage bootstrap/cache(Debian/Ubuntu)或chown -R apache:apache storage bootstrap/cache(CentOS) - 再修复 SELinux:
chcon -R -t httpd_sys_rw_content_t storage/ bootstrap/cache/ - 若用 systemd 启动 PHP-FPM,确认
PrivateTmp=true没被误关——它会让/tmp隔离,导致 session 文件找不到
另外,APP_KEY 必须在部署时生成且保持不变。用 php artisan key:generate --force 自动覆盖是危险操作,会废掉所有已加密数据(如 remember_token、加密 cookie)。应该在首次部署时生成一次,存进 .env 并纳入部署流程固化。
最后提醒:debug=false 和 app.debug=false 必须双设,Laravel 8+ 开始两者独立控制,漏一个都会在错误页泄露完整异常堆栈和环境变量。
