Composer怎么查看已安装的所有包_Composer如何用show列出项目的依赖列表【命令】

Composer怎么查看已安装的所有包_Composer如何用show列出项目的依赖列表【命令】

composer show 不加参数就能列出全部已安装包

其实，想快速摸清项目依赖的家底，最直接的办法就是运行 composer show。这个命令会立刻输出当前项目 vendor/ 目录下所有已安装的包，清清楚楚地列出包名、版本号和简短描述。它读取的数据源是 vendor/composer/installed.json（或者 installed.php），这比直接看 composer.lock 更贴近运行时实际加载的状态。

这里有个常见的理解偏差：很多人以为必须加上 -a 或 --all 参数才能看到全部。其实恰恰相反，不加任何参数就是默认展示全量列表；而 --all 参数的作用，主要是为了把平台包（比如 ext-curl、php 本身）也一并包含进来。

• 如果只想快速浏览包名和版本，可以用 composer show --name-only（要求 Composer 2.5+ 版本），或者在 Linux/macOS 下用管道处理：composer show | cut -d' ' -f1。
• 打算把列表导出为纯文本，方便后续用 grep 等工具处理？加上 --format=txt 参数会更稳妥（虽然它和默认格式基本等价）。
• 需要警惕的是：如果项目从未执行过 composer install 或 composer update，导致 vendor/ 目录是空的，那么运行 composer show 会直接报错 Could not find package。

composer show vendor/name 查看单个包的详细信息

当你需要深入了解某个特定包时，比如想查看 monolog/monolog 的依赖树、源码仓库地址、自动加载配置或者所有可用版本，命令就变成了 composer show monolog/monolog。它会展示该包在本地实际安装的版本，并给出其 composer.json 元数据的一个快照。

值得注意的是，这个命令完全在本地运行，不联网，也不会查询 Packagist。它只读取已经安装在 vendor/ 里的包的元信息。所以，如果你刚刚用 composer require 添加了一个包，但还没执行 install，那么它是不会出现在查询结果里的。

• 想看看某个包能升级到哪些版本？加上 --all 参数试试，例如 composer show monolog/monolog --all。
• 要判断一个包是项目直接依赖，还是被其他包间接引入的？可以查看输出中的 type 字段是否为 library，再结合项目根目录的 composer.json 文件里的 require 部分进行比对。
• 如果遇到 Package not found 的提示，先别急。用 ls vendor/ 确认一下包目录是否存在，再仔细检查包名的大小写——Composer 的包名是严格区分大小写的，guzzlehttp/guzzle 和 GuzzleHttp/Guzzle 会被视为两个不同的包。

composer show --tree 输出依赖关系树

想要理清“谁依赖了谁”这团乱麻？composer show --tree 是最直观的工具。它会从根项目开始，像展开一棵树一样，递归地展示每一层依赖关系，用缩进来清晰表示层级。这样一来，哪几个包共同引入了同一个子依赖（比如都依赖 psr/log）就一目了然了。

不过，它也有局限性：不会显示版本冲突或者未满足的版本约束。这类问题得靠 composer why-not 或 composer prohibits 命令来诊断。另外，--tree 默认只展示运行时依赖（即 require 部分），不包括开发依赖（require-dev），除非你显式加上 --dev 参数。

• 只想看开发依赖的树状结构？用 composer show --tree --dev。
• 想从庞大的依赖树中过滤出特定类型的包，比如所有 symfony/* 系列的？可以配合管道和 grep 命令：composer show --tree | grep "symfony/"。
• 这里有个容易踩坑的细节：如果某个包被项目中的多条依赖路径同时引入，--tree 命令默认只展示第一条路径，不会标记出重复引用的情况。所以，别用它来准确判断依赖的收敛效果。

composer show 和 composer depends 的关键区别

这是很多开发者容易混淆的地方。简单来说，composer show package/name 回答的是“这个包自己长什么样”，而 composer depends package/name 回答的是“谁在用它”。后者才是当你考虑是否要移除某个包时，用来判断“会不会影响其他组件”的关键命令。

举个例子，你想确认 doctrine/annotations 这个包是不是只有 doctrine/orm 在用，还是你自己的业务代码也直接 use 了它。这时候就该用 composer depends doctrine/annotations。它会列出所有直接依赖它的包，包括根项目本身（会显示为 root）。

• 加上 --recursive 参数，可以看到间接依赖它的包（也就是“依赖的依赖”），但输出可能会非常冗长，使用时要谨慎。
• depends 命令只列出包名，不显示具体的版本号。要查版本，还得回头用 show 命令或者去翻 composer.lock 文件。
• 一个常被忽略的细节：depends 默认不会包含 require-dev 中的依赖，除非你显式加上 --dev 参数。否则，你可能会漏掉测试工具链里的调用关系。

话说回来，真正关键的不是死记硬背这几个命令，而是理解它们背后的逻辑：show 系列命令始终基于 vendor/ 目录下的已安装状态；而 depends 和 prohibits 这类命令，依赖的则是 composer.json 文件中声明的依赖关系逻辑。当这两者给出的信息不一致时，往往意味着 composer.lock 文件已经过期，或者有人手动改动过 vendor/ 目录里的内容了。