La explicacion que aporta RootK es francamente muy buena, yo añadiria una cosita mas. Si la aplicacion va a realizarse para internet, y usas bases de datos. Cuando almacenas el usuario y la contraseña es muy recomendable usar algun sistema de encriptacion de la contraseña. Yo utilizo por norma general MD5 es una gran sistema de encriptacion. El unico problema, bueno mas que problema es un punto a favor, y es que no se puede (o al menos eso tengo entendido) desencriptar, de tal manera que si alguno de tus usuarios olvida la contraseña, deberas borrar la que tenga en la base de datos y generar una nueva, ya que al encriptarse la contraseña no puedes por decirlo de alguna manera dar marcha atras y saber cual es.
Luego evidentemente como bien commenta RootK tienes que definir que puede hacer cada usuario en cada pagina. Por eso como te comente antes la validacion es para mi algo prioritario en este tipo de aplicaciones.

Mucha suerte. Un saludo
Pinty