si definitivamente esa es una buena solucion, sin embargo aparte de los permisos de las carpetas podes validar en todas estas y con la base de datos,pero si digamos tu sitio no es tan dinamico podes usar switch para ver los usuarios permitidos y como dice Cristiaen pasar variables por el url para determinar que vas a hacer, sin embargo aun asi si pones el url podes tener un resultado sin seguiridad y podes implementar estas sencillas lineas:
Código PHP:
session_start();
if (!isset($_SESSION['usuario_actual']))
{
header("Location: http://localhost/logeo.html");
}
por si el usuario esta logeado lo pase al logeo y no te permita ejecutar el script, este lo podes guardar en un script llamado seguridad.php por ejemplo y en cada script que solo deba ser visto por usuarios logeados podes hacer
Código PHP:
include ("rutadondesteenelservidor/seguridad.php");
aunque lo que ya recomiendan es algo que debes hacer,esto es solo para afinarle detalles a lo que ya te recomendaron.