hi,

Bisher hatte ich es so verstanden, dass jede session durch session_start() eine eigene id bekommt,

session_start macht zwei Dinge:
Wenn vom Client eine Session-ID übergeben wurde - per Cookie, oder als GET-Parameter - dann nimmt es die zu dieser gehörende Session wieder auf, die zuvor reingeschriebenen Daten werden dann wieder zur Verfügung gestellt.
Im anderen Falle, wenn keine ID übergeben wurde - dann erzeugt es eine neue solche, und damit eine neue Session.

sprich ich bin davon ausgegangen, dass selbst wenn zwei user zeitgleich das Bestellformular verwenden, also zeitgleich eine $_SESSION["bestellung"] erzeugen, diese trotz des identischen Namens durch die id exakt zugewiesen werden kann.

Richtig, die Zuordnung der Daten zu einem bestimmten Client geschieht durch die Session-ID.
Konflikte könnte es da nur geben, wenn zwei Clients die gleiche Session-ID übergeben würden - dann würden beiden die selben Daten zugeordnet.
Die Erstellung der Session-ID ist aber hinreichend zufällig, dass man diesen Fall unter normalen Bedingungen als nahezu ausgeschlossen betrachten kann.
Ein anderes Thema ist Session-Klau - wenn jemand an meine Session-ID herankommt, kann er sich gegenüber dem Server als "ich", als mein Client ausgeben. Die ID zu erraten ist auch nahezu unmöglich auf Grund der Zufälligkeit, siehe oben - lediglich ein echter "Klau" könnte ein Problem darstellen. Also wenn ich bspw. unvorsichtigerweise einen URL, der die Session-ID als GET-Parameter enthält, weitergebe, oder auch wenn ein solcher als Referrer an von externen Domains eingebundene Ressourcen weitergegeben wird.

gruß,
wahsaga