Bonjour à vous, il y quelque chose qui me pose problème ..

J'ai installé sans soucis les paiement paypal avec l'API, donc je communique directement avec cURL.
Si je viens à vous c'est pour exposer un problème de fiabilité :

Sur paypal on demande un ExpressCheckout pour rediriger à l'aide d'un token sur paypal. A savoir que dans ce ExpressCheckout on défini un montant total, etc .. Ce qui nous servira à personnaliser ceci :

Nom : 7ZJG9.png Affichages : 122 Taille : 12,5 Ko

Lors de la rediction sur mon site marchand, j'envoie une confirmation à Paypal mais en spécifiant encore une fois un montant, et même si ci dessus il est affiché 3€, je peux spécifier par exemple 50€ dans cette confirmation qui effectuera le transert entre les deux comptes et l'utilisateur n'a pas son mot à dire, pourquoi !? J'ai essayé plusieurs fois sur Sandbox et j'arrive à falsifier ce que vois l'utilisateur tout en lui prélevant + que prévu.
Avez vous des explications à ce sujet ? Je ne comprend pas leur système de sécurité .
Merci.