пользователь может снова войти в IE после выхода из системы, нажав кнопку «Назад»

Похоже, вы на самом деле не удаляете сеанс на сервере, а очищаете идентификатор сеанса в URL-адресе (или что-то в этом роде) на клиенте. Поэтому, когда нажата кнопка «Назад», он пытается повторно отправить идентификатор сеанса, и ваш сервер принимает его.

OR

Страницы просто кешируются клиентом, и когда они возвращаются, он загружается из кеша. Когда они принудительно обновляют, он перезагружает страницу без переменных.

Вам нужно будет сделать проверку на основе сеанса, чтобы исправить это. Вы передаете в форму входа скрытое поле со случайной строкой верификатора. Сохраните случайную строку в сеансе и используйте повторно опубликованное скрытое поле для проверки этого идентификатора. После подтверждения входа в систему повторно создайте верификатор, чтобы в следующий раз, когда форма была отправлена, верификатор был неправильным, а кнопка «Назад» не работала.

после того, как вы опубликуете форму входа и подтвердите/войдёте/все, выполните header('location:someOtherPage.php) перенаправление на другую страницу. Тогда форму нельзя будет повторно опубликовать по нажатию f5. Например:

//login.php
<?php
//no cache headers if you want.
session_start();
if(isset($_POST) && !empty($_POST)){
    //validate user & pass. if valid set session then...
    if(is_valid_user()){
        //set session
        $_SESSION['loggedIn'] = true;
        //close session. this prevents problems with vars not
        //setting when using a header redirect because you redirect
        //before the session file can write.
        session_write_close();
        //redirect to another page
        header('location:loggedIn.php');
        //stop the script from running
        exit;
    } else {
        echo "<div class='error'>Login failed.</div>";
    } 
}
//echo login form.

?>

перенаправление заголовка не отображается в истории, поэтому при нажатии назад они не увидят страницу, которая позволяет вам повторно опубликовать форму.