Kesinlikle güvenlik açığı var hocam $orderId ve $paymentId gibi değerler POST verilerinden alınarak doğrudan işlem yapılıyor. Bu durum, sahte POST istekleriyle manipülasyona açık.