allora.
è da 3 giorni che cerco x il web e vi faccio il punto della situazione.
Prima di tutto Paypal col servizio IPN ti richiama un certo URL (credo definito da me quando l'utente clicca per andare a pagare) che ti informa quando i soldi sono fisicamente sul tuo conto.

Per quanto rigurada il form e i campi che qlk utente malevolo va a cambiare, credo che la cosa si può risolvere tramite socket, ma di questo mi devo ancora documentare.

Se fai una request via socket e stampi a video quello ke ti ritorna è come se fossi sul sito di paypal.
Tramite socket sei tu che passi direttamente a paypal i dati senza FORM; quindi il problema hacking è risolto..solo che non so se si può fare in questo modo.
Dobbiamo capire di più questa cosa!!!