最可靠冻结包的方法是将 composer.json 的 require 条目改为精确版本(如 "monolog/monolog": "2.9.1"),或使用 composer 2.5+ 的 prohibit 命令主动阻止特定版本;仅靠 composer.lock 或 --dry-run 等参数无法实现冻结。
composer update 时跳过某个包更新
直接用 --with-dependencies 配合 require 锁死版本最可靠,但更常用、更轻量的做法是加 --with 或改 composer.json 的 require 字段为精确版本(如 "monolog/monolog": "2.9.1"),这样 composer update 默认就不会动它。
注意:仅靠 composer.lock 文件不能阻止更新——只要 composer.json 里写的是 ^2.9 这类范围版本,下次 update 就可能升到 2.10.0,哪怕 lock 文件里锁着 2.9.1。
-
composer update只看composer.json的约束,lock 是结果,不是规则 - 想彻底冻结,必须把
require条目改成无范围的精确版本(不带^、~、>等) - 如果该包是其他依赖的子依赖(非 root require),需在 root 的
require中显式声明并锁死,否则仍可能被间接升级
用 composer prohibit 冻结包(Composer 2.5+)
Composer 2.5 起支持 prohibit 命令,本质是往 composer.json 加一条 prohibits 规则,让 Composer 在 resolve 阶段直接拒绝匹配的版本。
比如禁止 guzzlehttp/guzzle 升级到 7.9.0 及以上:
composer prohibit "guzzlehttp/guzzle:>=7.9.0"
执行后,composer update 会报错并中止,而不是静默跳过——这是和手动锁版本的关键区别:它主动防御,而非被动忽略。
- 只对当前项目生效,不改变依赖包自身的
composer.json - 可多次调用
prohibit添加多条规则,对应生成多个prohibits数组项 - 若某次
update因prohibits冲突失败,得手动删掉对应规则或调整其他依赖才能继续
常见错误:以为 --dry-run 或 --no-update 能冻结
这两个参数完全不相关:--dry-run 只模拟,不写入;--no-update 是安装时跳过更新依赖,跟 update 命令本身无关。它们都不影响“是否允许某个包升级”的判断逻辑。
真正起作用的只有三处:① composer.json 的 require 版本写法,② prohibits 规则,③ 是否启用 platform-check 或 minimum-stability 等全局策略(但这些不针对单个包)。
- 误用
--ignore-platform-reqs不会冻结包,只是跳过 PHP 扩展检查 - 把包移到
require-dev也不保险——如果生产环境运行composer install --no-dev,它根本不会装,但update仍可能因其他依赖间接拉取新版本 - 修改
vendor/下源码是临时补丁,下次update或install会直接覆盖
冻结后还要留意兼容性断裂点
哪怕你锁死了 symfony/console 到 5.4.33,一旦另一个依赖要求 symfony/console:^6.0,Composer 就无法满足,会报 Your requirements could not be resolved 错误。
这种冲突往往在 CI 或新机器上首次 install 时才暴露,本地因为 lock 文件存在可能一直没发现。
- 每次锁包前,先跑一次
composer why-not vendor/package:version查谁在推新版本 - CI 流水线里建议加
composer install --no-cache+composer validate,避免 lock 文件被意外绕过 - 如果团队多人协作,冻结操作必须提交
composer.json和composer.lock,缺一不可
