complement a [13849] :

il faut securiser les appels à propre et typo hors squelette (typiquement code php de l'espace privé), mais dans les squelettes, la sécurisation est intégrée, et il ne faut pas en rajouter.
On utilise donc la presence du parametre connect pour distinguer les appels des squelettes qui le comportent tous, des appels historiques hors squelettes qui ne le mentionnent jamais
Corrolairement, en cas d'appel hors squelette avec un parametre connect, il convient d'appeler en plus interdire_script