no aspetta se è controllato dalle sessioni dovrebbe funzionare cosi:

session_destroy() distrugge effettivamente la sessione, poi l'utente fa back e rivede la pagina dalla cache. Quando cerca di effettuare un altra operazione dentro all'area protetta il controllo glielo impedisce.

difatto quando fa back il browser gli presenta la pagina ma non fa alcuna richesta al server...

prova un po se questa cosa succede con tutti i browser che hai installati sul tuo client