miren les pongo mi codigo que muestra la autentificación del usuario


<?php
include "conexion.php";

$usuario_nombre = mysql_real_escape_string($_POST['usuario_nombre']);
$usuario_clave = mysql_real_escape_string($_POST['usuario_clave']);
$sql = "SELECT usuario_id, user, pass, permiso FROM usuarios WHERE user='".$usuario_nombre."' AND pass='".$usuario_clave."'";
$result = mysql_query($sql) or die("Imposible verificar al usuario por el error: " . mysql_error());
$dato = mysql_fetch_array($result);
if(mysql_num_rows($result) == 1){
//usuario y contraseña válidos
//session_name("loginusuario");
//asigno un nombre a la sesión para poder guardar diferentes datos
session_start();
//session_set_cookie_params(0, "/", $HTTP_SERVER_VARS["HTTP_HOST"], 0);
//cambiamos la duración a la cookie de la sesión
// inicio la sesión
$_SESSION["autentificado"]= "SI";
$_SESSION["user"]= $dato['user'];
$_SESSION["permiso"]= $dato['permiso'];
//defino la sesión que demuestra que el usuario está autorizado
$_SESSION["ultimoacceso"]= date("Y-n-j H:i:s");

if($_SESSION["permiso"]=='1')//verifica permiso
header("Location:admin.php");//redireccionamiento;
else
if($_SESSION["permiso"]=='2')
header("Location:inicio.php");//redireccionamiento;

}else {
//si no existe le mando otra vez a la portada
header("Location: login.php?errorusuario=si");
}

?>


la cuestion es que si el usuario normal conoce el link del adminisitrador igual se puede meter y es lo que necesito evitar