MM_authFailedURL="adminlogin.asp"
MM_grantAccess=false
If Sessi) Or _
         (InStr(1,MM_authorizedUsers,Sessi) Or (InStr(1,MM_authorizedUsers,Sessi，这里的"administrator"是级别的定义值，即是admininfo表中表示访问级别字段的值

所以，其只能限制admininfo表其他的访问级别（非administrator）的管理员的访问，而对于普通会员而言，其Session("MM_UserAuthorization")值为空，同样可访问该权限页面。

这就是BUG所在！

四、目前解决方案

1、要做基于用户名、密码和访问级别的访问，必须是同一数据库表中的。即将普通会员和管理员的信息都保存在同一表中，区分他们权限的方法即是添加一个代表权限的字段，使得他们具有不同的值。

当然，这不是很完整的，很多情况需要将两个表分开，那么则可以用如下方法：

2、当基于用户名、密码和访问级别的访问，在代码 

If Session

("MM_Username") <> "" Then 

继续添加内容

and Session("MM_UserAuthorization") <> "" ，即最后为：

If Session("MM_Username") <> "" and Session

("MM_UserAuthorization") <> "" Then

注意：当基于用户名、密码和访问级别的访问时，才可以修改（因为有访问级别，就表示有Session("MM_UserAuthorization") ）；而只当基于用户名和的访问时，则不需要。

五、最后的建议

当然，这个建议最好给MM公司，即是：当基于用户名、密码和访问级别的访问时，代码判断行和当基于用户名和的访问时，要不一样，应该是：

If Session("MM_Username") <> "" and Session

("MM_UserAuthorization") <> "" Then

无忧CMS，5ucms.org建站仿站首选！