$_SESSION["user"] будет доступна только одному пользователю, для которого эта сессия. В другой сессии другие значения $_SESSION.
При авторизации $_SESSION["user"] = username. Туда же можно записать и права полученные из бд при авторизации. $_SESSION доступна только на серверной части, в клиентской возможно получить только с разрешения серверной.
Пользователь1 получит информацию пользователя2 если при авторизации пользователь1 ввел логин и пароль, серверный скрипт сравнил md5 хэш пароля введенного с хэшем пароля соответствующего пользователя в бд, то авторизация прошла успешно. В переменную сессии пишешь нужные данные и используешь их на серверной части, клиент к этим переменным доступа не получает. Если нужны группы доступа, то в бд добавляешь поле с id группы или названием(как удобно) и при успешной авторизации пишешь в сешн группу пользователя.
Изучи стандартный механизм авторизации на сайтах и такие вопросы тебя не будут беспокоить.
Как то так, если я всё правильно понял.