tu ne pourras pas trop protéger ton code, car ce qui est envoyé à paypal est envoyé par le navigateur du visiteur (donc donnée potentiellement modifiée).
Tu as 2 solutions, l'une qui consiste à enregistrer un bouton sir ton compte paypal et depuis ton site, faire appel à cet ID de bouton. Les infos du prix sont chez Paypal, mais ça implique qu'il n'y a pas de gestion de quantité (sinon il faut envoyer la quantité en parallèle et on revient au problème du début )
L'autre solution est de faire normalement la transaction paypal, et de faire, sur la page de confirmation de ton site, une vérification de la transaction. Paypal peut alors te retourner un identifiant de transaction, et si sur ton site cet identifiant (passé en $_GET) est manquant, alors la personne a clairement tenté de contourner ton système. C'est documenté sur la partie dév de paypal.
---------------
NewsletTux - outil de mailing list en PHP MySQL