Come ho detto non ho mai usato paypal, quindi non son sicuro al 100% che non funzionerebbe.
Il dubbio mi viene perchè semplicemente prendi(lato server) l'output del servizio PP e la mostri all'utente (rimanendo nel dominio del sito ecommerce). Quindi niente cookie e/o sessioni e visto che devi procedere al pagamento (da browser, senza poter passare di nuovo dal server) mi viene il sospetto che qualcosa non funzionerà (anche perchè poi le successive richieste a paypal verranno anche da un ip diverso).

Io, cmq, non mi preoccuperei troppo della modifica dei dati hidden. Alla fine, prima di spedire la merce verificherai di aver ricevuto il giusto compenso, no?
Se proprio vuoi essere pignolo, come ti ho detto, alla risposta IPN di paypal, fai un ulteriore controllo se quel che è stato pagato corrisponde.