Если админка фильтрует кавычки, то ты ничто не сделаешь, это банальная XSS. Если же нет, нужно просто выйти за переменную и вставить выполняемый код, как показал h00lyshit!(Если фильтруется двоеточие, то можно вставить код в саму переменную - ".код.").

Но при этом лучше использовать не GET и POST, а куки или HTTP заголовки. Так же возможно, что на стороне сервера запрещено выполнение этих функций.

При этом можно использовать что то типа $a($b) или вставлять нужный код напрямую.