'OR 1=1 jest próbą wykonania zapytania bez względu na wszystko/* jest próbą rozpoczęcia komentarza wielowierszowego, więc reszta zapytania jest ignorowana.
Przykładem może być
SELECT userid
FROM users
WHERE username = ''OR 1=1/*'
AND password = ''
AND domain = ''
Jak widać, jeśli wypełniłeś pole nazwy użytkownika bez zmiany ' bez względu na to, jakie poświadczenia użytkownik przekaże w zapytaniu, zwróci wszystkie identyfikatory użytkownika w systemie, które prawdopodobnie przyznają dostęp atakującemu (prawdopodobnie dostęp administratora, jeśli admin jest Twoim pierwszym użytkownikiem). Zauważysz również, że pozostała część zapytania zostanie skomentowana z powodu /* w tym prawdziwy ' .
Fakt, że widzisz tę wartość w swojej bazie danych, oznacza, że została ona uciekła i ten konkretny atak się nie powiódł. Należy jednak sprawdzić, czy podjęto jakiekolwiek inne próby.
