hvordan undgår man, at brugeren kommer ind i login-sessionen, selv efter at have logget ud ved at klikke tilbage?

Nyttige læsninger:

Omdiriger efter indlæg
Sådan undgår du POSTDATA-advarsel om gensend

Det enkleste du også kan gøre er at sætte en betingelse i header.php (eller lignende fil, som deles på tværs):

session_start(); // on top of the scrit
................
...............

if (! isset($_SESSION['yourKey'])){
  header('LOCATION: notLoggedPage.php');
  exit;
}

Bemærk: Sørg for at sætte session_start() i starten af dit script, når du har sessionsrelaterede funktioner i dit script.