'OR 1=1
е опит да се направи заявка успешна, независимо какво/*
е опит за стартиране на многоредов коментар, така че останалата част от заявката се игнорира.
Пример би бил
SELECT userid
FROM users
WHERE username = ''OR 1=1/*'
AND password = ''
AND domain = ''
Както можете да видите, ако трябваше да попълните полето за потребителско име, без да избягвате '
без значение какви идентификационни данни, които потребителят предава в заявката, ще върне всички потребителски идентификатори в системата, вероятно предоставяйки достъп на нападателя (евентуално администраторски достъп, ако администраторът е първият ви потребител). Също така ще забележите, че останалата част от заявката ще бъде коментирана поради /*
включително реалния '
.
Фактът, че можете да видите стойността във вашата база данни, означава, че тя е избягала и тази конкретна атака не е успешна. Трябва обаче да проверите дали са били направени други опити.