Con session_destroy() invalidi l'id di sessione che contiene $_SESSION. Probabilmente tornando nella pagina di login recuperi i dati in cache. Prova a reinizializzare tutto $_SESSION

$_SESSION = array();

E comunque giusto eliminare quel id di sessione (IMHO....)