se sei sicuro che la stringa contenga solo caratteri corretti può bastare:

codice:
$cms->set_values(explode(',', $str));
Altrimenti dovresti controllare che l'array risultante non contengano valori che possono nuocere al tuo sistema.

ciao