Es werden zwar Punkte und Kommas bei der einer neuen Transaktion im Feld für den Betrag abgefangen, jedoch kann man dort auch andere Texte hinter eine Zahl schreiben.
Der darin eingegebene Wert wird nach dem Abschicken auf der nächsten Seite nochmals ungefiltert angezeigt. Die Eingabe von Javascript funktioniert!
Entsprechend liegt hier eine XSS-Lücke (Cross-Site-Scripting) vor.
Vorschlag: Alle Werte des Feldes für den Betrag auf eine Zahl (Integer, PHP-Funktion intval()) casten und dem Input-Feld den Typ number geben.