1) Ако приемем, че сесията е базирана на бисквитки, тя все още трябва да бъде там, когато те се върнат на вашия сайт (стига да не са затворили прозореца на браузъра междувременно, което е малко вероятно).
Ако наистина не искате да сте сигурни, запазете сесията в базата данни във временна таблица, свързана с order_id, който генерирате. Вярвам, че е възможно това (order_id) да бъде предадено обратно след приключване на транзакцията. Прочетете документите за PDT .
2) Вярвам, че това не е така. Проверете документите страница 250 нататък.