Se vai indietro col browser ti rivedi le pagine in cache (del browser) e non puoi farci nulla lato server. D'altronde sono le "sue" pagine (del client).

L'importante e' che se il browser torna in una pagina protetta il tuo script controlli se la variabile di sessione esiste oppure no.

Se vuoi puoi anche cambiare l'id di sessione rigenerando l'id (da php >= 4.3.3 ). Prova:

Codice PHP:
<?php
session_start();

$_SESSION = array();

session_regenerate_id();

header("Location: login.php");
exit;

?>