Sicherheitskonzept

ehm such mal nach usermanagement oder so. denke gerade zu dem thema solltest du hier im forum jede menge finden. aber als kleinen tipp werfe ich folgende dinge in den raum: session, datenbank, userlevel

ich hab das mit einem "access-handler" gelöst.

jeder bereich hat ein bestimmtes "access-level"
grob wäre das:
gast=0
standard=1
moderator=2
admin=3

auf jeder seite wird dann der access-handler mit dem benötigten level als parameter übergeben.
ist der user berechtigt darf er rein und ansonsten:
"...du komms hier näd räin..."

... welchen ich durch Veränderung in meiner Browserleiste natürlich beliebig korrigieren kann

Ist aber meines erachtens etwas unflexibel, zumal es bestimmte Situationen geben könnte in denen man bestimmte Rechte nur einzeln geben möchte.

Daher würde ich zu einem System aus

Rolle_User
Rolle_Rechte
User_Rechte
Rolle
Rechte
User

Gewiss sind 6 Tabellen aber damit wird ermöglicht das ein User welcher nicht eine bestimmte Rolle besitzt trotzdem durch ein Einzelrecht priviligiert werden kann.

Daneben würde ich von einem expliziten Access Denied ausgehen, d.h. alles wird so solange verboten bis es audrücklich erlaubt ist.

Zudem vll. noch folgendes Schema:
Rolle Betreiber: Besitzer der Seite, der uneingeschränkten Zugriff besitzt und Admins bestellen kann. Kann nicht gelöscht werden.
-> Schutz vor Anarchie
Rolle Admins: Verwalter der Seite, die durch den Betreiber benannt/abgewählt werden können. Admins können sich Gegenseitig die Rechte entziehen. Und auch Moderatoren ernennen
Rolle Moderatoren: Moderatoren sind privilegierte User, welche sich gegenseitig nicht die Rechte entziehen können.

Wobei die Vererbung der Rollen noch durchdacht werden müsste....

@Schmalle: Nagel auf den Kopf getroffen

Mit Sessions arbeiten.
Via Session den User indentifizieren
Via Useridentifizierung seine Gruppenrechte checken
Via PHP Mysql abfragen, was er wo darf und ggf. erlauben sich irgendwo aufzuhalten.

Dann guckt Schmalle doof!