phpでセッションを使うときに
注意しないと
サーバやクッキーの変数が残ったままになってしまいます。

セッション変数はファイルで保存されており
サーバ上の/tmpディレクトリ等に作られます。
session_destroyで
現在のsession_idで参照できるセッション変数は消えます。

session_cache_limiterや
session_cache_expireの設定次第では
セッション変数はかなりの期間存在し続けます。
削除はガベージコレクションが管理しており
1/1000等の確率で期限切れの全セッション変数が消えます。

session_idはcookieにも書かれます。
これはsession_destroyしただけでは消えてくれません。
setcookieでsession_nameを指定して明示的に消す必要があります。
ブラウザ終了までの寿命のセッションの場合は
必ずsession_set_cookie_paramsとsetcookieを併用する必要があります。