Угу, только вот передаётся в виде plain text ) Может стоит подумать об SSH/SFTP? Заранее прошу прощения, если у вас и так уже всё секурно в этом плане, просто у вас там упоминается «просто» FTP.
Я бы сделал так. Две таблицы:
1. Таблица user_order — хранит userId и orderId (генерируется когда пользователь оформил заказ, orderId есть primary autoincrement id для таблицы orders)
2. Таблица order_item — хранит orderId и itemId
