Hallo!

Wenn ich jetzt aber möchte, dass der User auf bestimmte Seiten nicht zugreifen kann, weil das die Seiten eines anderen Users sind... wie realisiere ich denn sowas? (Vom Prinzip her)

Beim Login überprüfst Du ob die Benutzerdaten in Ordnung sind. Sind die Daten in Ordnung, speicherst Du in der Session z.B. login_ok=true; ab. Wenn die Daten nicht in Ordnung sind, leitest Du den User zum Login zurück.
Auf jeder Seite fragst Du nun ab, ob login_ok==true ist, wenn nicht, gehts zum Login zurück.
Du kannst natürlich in der Session noch mehrere Daten mitschleppen, Benutzername z.B. um Benutzerdefinierte Daten anzeigen zu können.