Mi sembra che per il logoff prima di cancellare la sessione cancello le variabili di sessione (session_unregister). Poi all'inizio di ogni pagina ho uno script che testa se una variabile di sessione è definita. Se non lo è allora richiamo la pagina di login. Questo vale anche se seleziono una pagina dove c'era un post data.