Also ich benutze eine erweiterte Form der PEAR-AUTH-Klasse.
http://pear.php.net/package/Auth
Nehme diese Scripte für fast alle Kunden die auch einen Administrativen Bereich bekommen.
Jedoch wird der Administrative Bereich nur durch eine für den Kunden bekannte URL erreichbar sein.
Auf jeder administrativen Seite rufe ich dann AUTH::getAuth() oder einer von mir erweiterten Form anhand der Berechtigungen geprüft werden auf. Bei Fehlschlag wird der Benutzer mittels Header(Location blabla) dann auf eine entsprechende Fehlerseite oder die Hauptseite geleitet je nach Kundenwunsch.
Das mehrere Benutzer mit dem selben Script arbeiten sollte kein Problem darstellen!
Tips zur Sicherheit?!
Alle Werte die über ein Formular kommen mittels strip_tags() von eventuell schädlichen Code befreien.