si è quello che intendo per permessi, facciamo un esempio,

l'utente A ha le categorie 1-2-3-4

l'utente B ha le categorie 5-6-7-8.

Quando ti arriva il post dall'utente A controlli se l'id della categoria è 1 oppure 2 oppure 3 oppure 4 (ovviamente sarà una semplice select) se rientra tra le sue categorie esegui la query, altrimenti lo blocchi.
Tieni presente che il tuo meccanismo di metterle in sessione non risolve nulla perchè supponi che A nella pirma pagina php dove gli fai scegliere la categoria con firebug ti correcca l'id in 6 tu da quel momento in sessione ci metti 6 e quindi modifichi una categoria che è di B e non di A