为Laravel提交compiled.php文件安全吗？

Question

我知道Laravel开发人员在他们的.gitignore文件中忽略了它，但他们也忽略了composer.lock文件，我认为这是不好的形式。我的问题是，提交并将该compiled.php推送到生产环境是否安全？

Answer 1

这取决于您的部署过程以及您在compiled.php文件中包含的内容。如果在版本管理器中添加composer.lock composer install ，请仅在部署时运行composer.lock，并且在 config/compile.php**，中不添加任何内容。是的，这是非常安全的。**

但是收益是什么呢？您只需将此代码放入composer.json

"scripts": {
    "post-install-cmd": [
        "php artisan clear-compiled",
        "php artisan optimize"
    ],
    "post-update-cmd": [
        "php artisan clear-compiled",
        "php artisan optimize"
    ]
},

并且将在每个部署中生成compiled.php文件。这样，如果项目中的任何人决定在某个地方运行composer update，您就可以避免任何类型的问题。

作为包管理器，composer可以帮助您管理依赖项。如果你提交你的compiled.php文件，你就完全绕过了composer，使用compiled.php作为一个非常原始的包管理器……