sessions - хранятся на сервере.
cookies - хранятся на клиенте.
Подменить сессию врятли сможет. Но логика построена не правильно, вы должны хранить в сессии только ид товара и количество. А при покупке - затрагивать данные из БД.
Вдруг человек добавит товар в корзину, а вы цену поменяете, тогда он по старой купит?)