Hallo Sabine!

Nr 1: [doppeltes Benutzen einer Sesion]

Das ist prinzipiell nicht vermeidbar.
Üblicherweise haben die Sessions deshalb eine begrenzte Lebensdauer.

Nr. 2: IP-Adresse.

Kurz gesagt: geht nicht. Einen Einwand hattest du ja schon selber (erneute Einwahl), es ist aber noch viel schlimmer: Benutzer (z.B.!) des T-Online Proxies können bei direkt aufeinananderfolgenden Zugriffen unterschiedliche IPs haben, dafür haben aber zwei unterschiedliche Benuzter die gleiche.

Nr. 3: Sobald der Kunde in den richtigen Bestellvorgang geht [...]

solltest du vor allem eine SSL-Verbindung benuzten. Inwiefern dir das bei der Useridentifizierung hilft weiss ich nicht. (Gibt es da 'sessions' oder ist das Protokol ebenso zustandslos wie http?)
(zumindest wären per Formular und "post" übertragenen Daten verschlüsselt.)

Nr. 4. Sobald er etwas in den Warenkorb legt, habe ich mir überlegt, könnte ich ja zu meiner Tabelle mit der PHPSESSID die Warenkorbnummer dazuspeichern, da kann ich dann aber nichts abfragen ....

Das Hilft bei der Authentifizierung kein Stück weiter als die Session ID.

Aber ein anderer Aspekt: Du hast was ganz tolles gefunden und möchtest das jemandem zeigen. Also flugs die URL kopiert, in eine Mail damit und an denjenigen verschickt. Wäre doch klasse wenn das geht! Dazu müsste in der URL allerding (immer!) die Artikelbezeichnung extra stehen.

Über die Möglichkeiten z.B. eine möglichst lange ID zu vergeben weiß ich Bescheid ...

Benutze doch die in PHP vorhandenen bzw in der PHP-Lib vorhandenen Session Funktionen. Da haben andere Leute lange drüber nachgedacht...

So, der Freizeitstress ruft... hoffe das hilft dir zumindest ein wenig weiter.

Gruss,
 Carsten