Uhm, no spetta, se quando torni indietro dopo aver fatto il logout ti apre la pagina come se fossi loggato, c'e' qualche problema nella sessione, non serve mettere ulteriori controlli.
Sicuro di distruggere bene la sessione e tutte le sue variabili? Rigeneri l'ID una volta fatto il logout?

Un altro piccolo accorgimento per evitare il POSTDATA del login quando torni indietro col pulsante del browser e' quello di mettere la procedura di login in un file .php separato.