Evet, haklısınız. Kodun mevcut hali güvenlik açısından riskli . Sizin de belirttiğiniz gibi, API'den dönen orderId ile POST'tan gelen orderId arasında bir karşılaştırma yapılmıyor ve sadece paymentId üzerinden işlem yapılıyor. Bu durum kötü niyetli bir kişinin sahte bir POST isteği ile ödeme durumunu manipüle etmesine olanak tanır. Sahte paymentId ile sahte bir ödemenin doğrulanmış gibi gösterilmesine neden olabilir.
sahte paymentId kullanılamaz hocam weepay apisinden kontrol edildiği için ama evet açık var gibi orderId kısmı için