Si el usuario necesita estar registrado para poder comprar yo en vez de sesiones cargaría el carrito directamente de la base de datos.

También me gustaría comentarte, veo que creas una sesión para usuario pero no para contraseña, esto es muy peligroso ya que si mediante la inyección de código cambia la sesión tendrá acceso a la web desde cualquier usuario, para prevenir esto crea una sesión para el password del usuario y comprueba en cada recarga si el login está bien hecho.