В добавлении к 9 посту, если передавать Secret Key в предварительный запрос, то можно сказать все будет безопасно, но этот же секретный ключ указанный в настройках мерчанта (для проверки) должен и на сервере где-то быть, а его так-же могут свиснуть, но тут уже от скрипта и сервера все зависит.

Если речь конкретно о вебмани, то тут все описано http://owebmoney.ru/merchant.shtml
предварительный запрос делается.
Но насколько мне известно его тоже можно обойти.