直接运行 composer show 就能列出当前项目所有已安装的包,但默认只显示包名、版本号和一行简短描述——它不自动展开 autoload、依赖树或远程版本,这些都得靠参数显式触发。

想快速摸清一个项目到底装了哪些依赖?composer show 这个命令是首选。不过,它的默认输出相当“克制”,只给你最核心的信息。想要看到依赖树、自动加载配置或是远程仓库里的所有版本,那就得带上对应的“钥匙”——也就是不同的参数。
查当前项目装了哪些包:composer show(无参数)
这个命令读的是 vendor/ 目录下的实际安装结果,不是 composer.json 里写的声明。所以它反映的是 lock 文件生效后的最终状态,比看配置文件更真实。
- 输出是表格形式,含三列:
name、version、description - 如果包没被真正安装(比如只在
require-dev里,又用了--no-dev),就不会出现在列表中 - 不支持模糊搜索;输
composer show log不会匹配monolog/monolog,必须写全名或至少前缀(如composer show monolog) - 输出太长时别硬翻,加管道:
composer show | less或composer show | grep -i cache
查某个包的 autoload 和 scripts 配置:composer show -s
类找不到、自定义命令不执行,八成是 autoload 映射或 scripts 没配对。-s(即 --show-config)能直接把这两块关键字段打出来,不用去翻源码或 composer.json。
composer show -s monolog/monolog会显示"Monolog\": "src/",说明MonologLogger对应vendor/monolog/monolog/src/Logger.php- 也会列出
scripts字段里注册的钩子,比如post-install-cmd是否包含phpunit - 这个选项在 Composer 2.2+ 才稳定支持;旧版本会报
unrecognized option,别试 - 不加
-s时,默认只输出一行:monolog/monolog 3.5.0,容易误以为“查不到详情”
查某个包为什么装了两个版本:composer show --tree
依赖冲突最直观的证据就藏在依赖树里。--tree 不是展示你写了什么,而是还原 Composer 实际解析出的安装路径——这才是排查 “为什么 psr/log 装了 v2 和 v3” 的唯一可靠方式。
- 输出是缩进结构,例如:
lara vel/framework v10.48.12 └── symfony/console v6.4.7 └── psr/log 3.0.0 - 它只展示
composer.lock里已确定的路径;如果某包只在require-dev且你用过--no-dev,就不会出现 - 想快速定位某依赖,直接管道过滤:
composer show --tree | grep guzzle - 注意:不加
--tree时,composer show vendor/package只列顶层信息,看不到谁把它拉进来的
查远程包有没有新版本、支不支持 PHP 8.3:composer show --all
--all(双横线,不是 -a)会绕过本地缓存,直连 Packagist API,返回该包所有可用版本的摘要。这是装之前确认兼容性的关键一步。
composer show --all symfony/console输出含版本号、发布时间、是否稳定、最低 PHP 版本要求- 它不显示某个具体版本的完整
composer.json;要看 v6.4.0 的autoload或require,得写全:composer show symfony/console 6.4.0 -s - 包名拼错(如
symfony/consoole)时默认静默失败;加-v才能看到Package not found - 私有包要查到,得先确保
repositories已配置在composer.json中,或临时指定:composer show --repository https://your-satis.example.com/packages.json myorg/private-lib
最容易被忽略的是:所有 composer show 命令都必须在项目根目录(有 composer.json 的地方)执行,且严重依赖 composer.lock 的完整性。lock 文件损坏或缺失时,--tree 和 -s 可能返回空或错误结果,这时候先 composer install 或 composer update --lock 再试。
