Esto no se puede hackear poniendo la pagina

Ds_Merchant_UrlOK" value='MI_TIENDA/autorizada.php';

directamente?

A mi me ha salido este mismo problema pero se me ocurre que yendo a autrizada.php pudieran confirmar un pedido sin haberlo pagado todavia. Decirme si estoy en lo cierto o por el contrario hay algo que se me escapa