Redireccionamiento

Bueno, es que estoy tratando de crear un sistema donde después de realizar un pago en PayPal automáticamente realice los cambios necesarios basandose en el monto del pago.

PayPal cuando se redirecciona a la página lleva varios valores $_POST, con eso puedo verificar cuál fue el monto que pagó el usuario, y varios datos, pero creo que eso puede ser engañado =S, si un usuario direcciona desde otra página otro formulario que produsca una variable $_POST['custom'] por ejemplo, que es la que usaría para verificar el monto, podría engañar a la página... Ya que la variable tiene un valor y automáticamente realice los cambios basandose en el monto falso, me gustaría saber si hay alguna manera de saber que esa página fue redireccionada desde PayPal y no de otra página, o algún método que me asegure que me han pagado =/

Estos son los array que devuelve usando la página de pruebas de PayPal:

Array ( [mc_gross] => 10.00 [address_status] => confirmed [payer_id] => FXY99MBFV6VBC [tax] => 0.00 [address_street] => 1 Main St [payment_date] => 01:05:49 Jan 04, 2008 PST [payment_status] => Pending [charset] => windows-1252 [address_zip] => 95131 [first_name] => Test [address_country_code] => US [address_name] => Test User [notify_version] => 2.4 [custom] => [payer_status] => verified [address_country] => United States [address_city] => San Jose [quantity] => 1 [payer_email] =>******[email protected] [verify_sign] => AS52rP1m9lwG.5cFiC9XTZhYot-YAw47kpOnzIB-8fKUYSeoxpMww7s7 [txn_id] => 0 [payment_type] => instant [last_name] => User [address_state] => CA [receiver_email] => ******@gmail.com [pending_reason] => unilateral [txn_type] => web_accept [item_name] => Donaci�n a Deus Avaritia [mc_currency] => USD [item_number] => [residence_country] => US [test_ipn] => 1 [payment_gross] => 10.00 [shipping] => 0.00 [merchant_return_link] => Volver a Vendedor )

En esto el array custom está vacío porque aún no he hecho para que mande el monto, pero igualmente se ve en mc_gross y payment_gross... pero igualmente pueden ser engañados ¿no?, sólo creando un formulario falso sin tener que hacer que pase por PayPal

P.D: ¿Si de una página se manda un fomulario a otra página(distinto servidor) las variables $_POST se guardan y son válidas para la otra página?

La variables POST tienen su origen un un formulario POST que ha sido enviado por el cliente, no importa desde que servidor a cual, es decir; podes intercambiar de servidores sin problemas.

Sobre lo se saber quien envia el formulario se puede saber que ip envio el formulario, es una variable de entorno $_SERVER

sobre Pay Pal no se muy bien, debe haber mecanismos mas fuertes de verificacion, pero igual no estoy seguro

Pero con eso se recoge la IP desde el formulario, sino no hay otra forma de saber, no ve por ejemplo cuál fue el sitio anterior, además que tiene que ser algo que no esté en el formulario, aunque otra solución es que no puedan ver el formulario del botón, evitando que se vea el código fuente, ¿cómo sería eso o.O?

Edito: Bueno, esconder el Código Fuente no es posible -_-, ¿Pero alguna otra solución?, el botón tiene muchos input hidden, pero viendo el código fuente se visualizan D: