Me traeria los registros ya validados en la consulta SQL(el criterio de cuales pueden ver o no ya deberas saber), eso lo hago contra otra tabla de permisos de usuarios.
Si validas los datos desde PHP seria menos optimo, ya que tendrias que validar en un ciclo cada registro, igual contra una bandera que indique que registros ver y cuales no.
Resumen, tiene una tabla de permisos? usala.
Esto, claro esta, es una respuesta muy genericaacorde a la pregunta.