Puoi usare token_get_all , ma il problema non è tanto l'esattezza sintattica, quanto il rischio che l'utente carichi un codice in grado di cancellare tutto il sito e database, o peggio.