Lo mejor es que mires los frameworks como trabajan la seguridad. Por ejemplo mira zend_auth y lo que ellos hagan eso es lo que debes hacer, tambien mira zend_acl para los permisos. Si ellos no hacen 13 capas de seguridad y solo hace por ejemplo 6 con eso debe ser suficiente, ya que es un framework que lo trabajan varias personas con experiencia y lo prueban miles, miles, miles y miles e informan problemas, bugs, problemas de seguridad, etc.

Para la base de datos lo mejor es que uses por ejemplo PDO y usa bindValue o bindParam para evitar inyeccion SQL.