Man kann keinen PHP-Code abhängig von JS-Variablen o.ä. direkt ausführen (man kann nur einen weiteren HTTP-Request auslösen; Stichwort: XHR).
Der Grund ist einer der Basics der Webentwicklung und wird klar, wenn du dir folgendes Bewusst machst:
- PHP-Code wird auf dem Server ausgeführt, generiert oft HTML-Code, der dann nach Beendigung des Scripts an den Browser des Besuchers der Webseite ("Client") geschickt wird
- JavaScript wird ausschließlich im Browser des Besuchers ausgeführt, also clientseitig. In dem Moment ist die Serverseitige Verarbeitung also schon komplett abgeschlossen
In deinem konkreten Fall: Paypal hat die Möglichkeit nach Beendigung des Zahlungsvorganges auf eine bestimmte Seite weiterzuleiten, die du im Formular mitgeben kannst. Diesen Link stellst du zum beispiel auf zahlungsbestaetigung.php?orderId=2345734795 (die OrderId ist eine eindeutige Zuweisungs-ID, die du für diesen Aufladeversuch vergibst) ein. Wenn der Zahlungsvorgang nun abgeschlossen ist, wird der Browser auf diese Seite weitergeleitet. Die zahlungsbestaetigung.php prüft per PHP, ob zur übergebenen OrderId die Paypal-Zahlung in korrekter Höhe durchgeführt wurde und updatest erst und nur dann das Guthaben der Person um den in deiner Datenbank zur OrderId hinterlegten Betrag. Nur so wird es gemacht und nur so ist es sicher. Auf KEINEN FALL (!) schreibst du den Betrag oder den User in die URL mit rein.
Beachte bitte außerdem unbedingt die Hinweise von peng zum Thema SQL-Injection. Jeder Parameter, der vom Client kommt, kann von einem Angreifer manipuliert werden. Hab das immer im Kopf und validiere JEDEN Wert, der vom Client kommt.
// Edit: Da ich nach dem Lesen des und deinen anderen Thread leider das Gefühl habe, zu wissen, wen ich hier vor mir habe (man kann es Vorurteil nennen, ich nenne es Erfahrung), werde ich dir aus Rücksicht auf die Allgemeinheit nicht mehr helfen.