Bueno muchachos el problema básicamente era que un mal intencionado podría cambiar el valor a pagar del campo hidden, y entonces pagaría menos del valor total, estoy trabajando con Paypal, ellos te dan un formulario con campos hidden, uno de ellos es el del total a pagar, (que lo he alterado muy fácilmente para probar) cuando el usuario paga, se redirecciona a mi web, pasando por GET datos como el código del producto etc... entonces yo , en ese momento automáticamente actualizaba el registro como PAGADO sin comprobar el monto que ha pagado el usuario, ahora voy a crear otra tabla Pagos en donde registraré los montos pagados, y compararé las valores de dichos montos, (el real y el que pagó) y si coinciden Perfecto, sino NO.