Le test de validité de $accountNr à la fin est incorrect.
Il fallait utiliser empty() à la place de isset().
Il fallait utiliser isset() à la place de empty().
Il fallait appliquer htmlspecialchars() à l’entrée.