OVM

Tu problema más bien es de expiración de la sesión y del control de esta que haces ..

Si sale el usuario de tu aplicación por tu "salir.php" donde debes MATAR la sessión (session_destroy()) .. no debería ocurrirte lo que planteas.

En todas tus páginas de tu proceso .. deberías revisar esas variables de sesión que indentifican a tu usuario como válido .. así que si "vuelvo" hacia atras .. la primera página que me dé el historial ya me validará la sessión y no podré entrar.

El tema del formulario que te pide reenviar los datos se solventa como ha explicado Josemi .. debes redireccionar al validar .. sea a si misma o a otra pàgina pero no validar a tu usuario con las variables de tu formulario (en metodo POST) y ahí seguir el proceso.

Si el SID todavía es válido .. en tu validación del login podrías regenerar el SID con session_regenerate_id() por si tienes problemas.

Revisa en tu PHP.ini el estado de:
session.gc_maxtimelife

Y juega con ese valor .. por defecto creo que está a 1440 segundos .. hay más directivas que influyen en eso.

Un saludo,