我們經常要往現有的項目中添加擴展包，有時候因為文檔的錯誤引導，如下圖來自 這個文檔 的：

composer update 這個命令在我們現在的邏輯中，可能會對項目造成巨大傷害。

因為 composer update 的邏輯是按照 composer.json 指定的擴展包版本規則，把所有擴展包更新到最新版本，注意，是 所有擴展包 ，舉個例子，你在項目一開始的時候使用了 monolog，當時的配置信息是
"monolog/monolog": "1.*",

安裝的是 monolog 1.1 版本，而一個多月以后的現在，monolog 已經是 1.2 了，運行命令后直接更新到
1.2，這時項目并沒有針對 1.2
進行過測試，項目一下子變得很不穩定，情況有時候會比這個更糟糕，尤其是在一個龐大的項目中，你沒有對項目寫完整覆蓋測試的情況，什么東西壞掉了你都不知道。

那應該使用哪個命令呢看install, update 還是 require 看

接下來我們一一解釋。

簡單解釋

composer install - 如有 composer.lock 文件，直接安裝，否則從 composer.json 安裝最新擴展包和依賴；
composer update - 從 composer.json 安裝最新擴展包和依賴；
composer update vendor/package - 從 composer.json 或者對應包的配置，并更新到最新；
composer require new/package - 添加安裝 new/package , 可以指定版本，如： composer require new/package ~2.5.

流程

接下來介紹幾個日常生產的流程，來方便加深大家的理解。

流程一：新項目流程

創建 composer.json ，并添加依賴到的擴展包；

運行 composer install ，安裝擴展包并生成 composer.lock ；
提交 composer.lock 到代碼版本控制器中，如：git;

流程二：項目協作者安裝現有項目

克隆項目后，根目錄下直接運行 composer install 從 composer.lock 中安裝 指定版本 的擴展包以及其依賴；

此流程適用于生產環境代碼的部署。

流程三：為項目添加新擴展包

使用 composer require vendor/package 添加擴展包；
提交更新后的 composer.json 和 composer.lock 到代碼版本控制器中，如：git;

關于 composer.lock 文件

composer.lock 文件里保存著對每一個代碼依賴的版本記錄（見下圖），提交到版本控制器中，并配合 composer install 使用，保證了團隊所有協作者開發環境、線上生產環境中運行的代碼版本的一致性。

關于擴展包的安裝方法

那么，準備添加一個擴展包，install, update, require 三個命令都可以用來安裝擴展包，選擇哪一個才是正確的呢看

答案是：使用 composer require 命令

另外，在手動修改 composer.json 添加擴展包后， composer update new/package 進行指定擴展包更新的方式，也可以正確的安裝，不過不建議使用這種方法，因為，一旦你忘記敲定后面的擴展包名，就會進入萬劫不復的狀態，別給自己留坑呀。

上面的概念不論對新手或者老手來說，都比較混淆，主要記住這個概念：

原有項目新添加擴展的，都使用 composer require new/package 這種方式來安裝。