Deberías definir perfiles de usuario. Te pongo un simple ejemplo de algo que te puede orientar:
Código PHP:
define ("PERFIL_USER", 1);
define ("PERFIL_ADMIN", 2);
if($accion == "administrar")
{
if($_SESSION["PERFIL"] == PERFIL_USER)
{
echo "No puedes realizar esta acción";
}
else
{
//Hacer lo que sea
}
}
La idea es que cuando la accion venga (por POST, GET, o de otra forma), por acción se entiende lo que sea que se intente hacer, tu compruebas lo primero el perfil de usuario autentificado en la página, y con eso ya decides si puede hacerlo o no.
Para eso, en el login, debes guardar en sesión, o en cookies como te apuntan aquí, el perfil de usuario. Los define() son para no tener que leer cosas como ==1 o ==2 que no ayudan nada a saber qué demonios dice eso. Puedes cambiarlo por literales de cadena tipo "usuario" y "administrador" si te resulta mas cómodo.
Espero que te sirva.