Ciao!

Legt der Kunde ein Produkt in den Warenkorb, kann mit der ID des Produkts, eventuellen Eigenschaften, der zu bestellenden Menge, die in der Session gespeichert werden, und dem Einzelpreis aus der DB immer der Gesamtpreis der Bestellung (zzgl. Versandkosten) errechnet werden.

OK, wenn z.B. nun die Session-ID nicht per Parameter weitergegeben wird,
sondern eben in einem Session-Cookie beim User gespeichert wird,
würde man doch da auch die zur Bestellung gehörenden Produtdaten
(Bestellnummer, Produktname, Preis) mit speichern, oder nicht?
So wären sie nicht in der URL lesbar und auch nicht so leicht zu fälschen.

Wenn Du sie beim Client ablagerst, sind sie immer mehr oder weniger leicht zu fälschen. Das ist aber auch gar nicht notwendig - der Client muß ja nur dem Server sagen können, welches Produkt er haben will, und das ergibt sich ganz einfach daraus, in welcher HTML-Datei der User auf "In den Warenkorb" geklickt hat.
Den Rest macht der Server dann alleine: Er schaut in seiner Datenbank, ob das Produkt existiert, wie es heißt, was es kostet usw., berechnet daraus alles, was Du wissen mußt, und schickt dem Client wieder eine HTML-Seite, nämlich die mit der Übersicht, was alles im Warenkorb drin ist.
Im Cookie muß (sollte) also nix weiter stehen als das, was der Server braucht, um den Client wiederzuerkennen, also die Session-ID.

Ich schließe mich übrigens at und Auge an, daß Du eine Datenbank verwenden solltest. Das bedeutet zwar beim anfänglichen Programmieren einen geringfügigen Mehraufwand, erspart Dir später aber einiges. Eine Datenbankanbindung mit PHP ist auch nicht soo schwer... ;-) (Bei mir mit MySQL fünf Zeilen für die Verbindung plus die Anfragen.)

Viele Grüße vom Længlich