Lo que dice
prodavetc es muy inseguro, puesto que mediante ese enlace cualquiera pudiera "marcar" un pago en tu base de datos. Lo más adecuado es el IPN (Instant Pay Notification); debes activarlo desde el panel de opciones de tu cuenta e implementar un "listener" en php en tu servidor. En la documentación para desarrolladores ya viene uno hecho para que sólo lo adaptes a tus necesidades. El listener lleva un validador para verificar que los datos efectivamente los manda Paypal.