Пользователю лежат в базе данных? Тогда где-нибудь там надо указать, к каим страницам кто имеет доступ.
А на каждой странице сверху проверять имя пользователя (из переменных сессии), доступные страницы и сравнивать с $PHP_SELF.
Вообще, я так понимаю, если у вас работает механизм пользователей/паролей, значит вы используете сессии?