OnlyMyQuestion

Да, желание странное.
Но, хозяин барин, можно спокойно вызывать методы статического класса, если в переменной находится его имя:

function returnSingletonMethods(){
   return Singleton::class;
}

returnSingletonMethods()::get();

E_ALL - константа, без кавычек.
display_errors - лучше "on", а не "1".

Собственно, сессия также - подвержена данным проблемам, ее id также хранится в cookie.
В большинстве случаев - используются цифровые отпечатки. Если человек зашел из Китая, при постоянном посещении из РФ - будет подозрительно, сюда же можно отнести проверку user-agent. По сути - идеального решения не существует, ну, или я недостаточно осведомлен.
JWT - если украсть access токен, то какое-то время он будет валиден, если хранить, все в бд - смысл jwt исчезает.
OAuth - украл токен, можно использовать.
Все сводится к дополнительной верификации по косвенным параметрам.

Оберните в setErrorHandler.

setErrorHandler(function () {
   throw new MyError;
})

try{
   $a = file_get_contents($path);
}catch(MyError $e){
   // Отловили warning
}

// вернули предыдущий обработчик ошибок
restore_error_handler();

Нет нельзя. set_exception_handler вызывается после того как происходит необработанное исключение, контекст, естественно, прерывается.