1) Förutsatt att sessionen är cookiebaserad bör den fortfarande finnas där när de kommer tillbaka till din webbplats (så länge de inte har stängt webbläsarfönstret under tiden, vilket är osannolikt).
Om du verkligen inte vill vara säker, lagra sessionen i databasen i en temporär tabell associerad med order_id du genererar. Jag tror att det är möjligt att detta (order_id) skickas tillbaka efter att transaktionen har slutförts. Läs dokumenten på PDT .
2) Jag tror att så inte är fallet. Kontrollera dokumenten sidan 250 och framåt.