Ma non e' che puoi evitare/impedire all'utente di fare quel che gli pare sul tuo pc. Puoi depistarlo con un redirect su altra pagina (di ringraziamento o di diniego) prima di reindirizzarlo su quella incriminata in modo da svuotare il POST. Tieni presente che i dati che visualizzi sono quelli del form e non quelli del file di sessione ormai azzerato.