Buenas, primero tienes que conseguir salir de las comillas, la manera mas sencilla es poniendo otra comilla antes de los datos, por ejemplo :

Si la SQL de login es esta :


y de login pones soler y de pass 1234 quedaria :


pero si pones de login : podrias escapar la SQL quedando asi :
Aunque la clave ya daria igual lo que pongas puesto que seria un comentario.

Donde los dos guiones son comentarios (al igual que las // en C o la ' en VB)

Esta es la manera mas simple de inyectar SQL, la mas conocida y por lo tanto la mas vigilada, pero bueno te sorprenderia saber que todavia existen sitios donde cuela xDD.

Un saludo

Si la BD es MySQL, el -- no funciona, se tiene que usar -- -
entonces lo mas pratico seria
' or '
que queda asi:
SELECT * FROM usuarios WHERE usuario='' or '' AND clave='' or ''
Tambien es menos probable que lo detecte un WAF/IDS.

Hola, prueba con un user válido porque si le das un user que no existe no le hará select a nada.

admin' and 1=1--+

o puedes obtener el primer id con

x' or like usuario '%' limit 1 --+

con eso invalidas la primera comparación "=" y le inyectas un like y por orden mysql obtendrá el primer resultado de arriba hacia abajo ya que le indicamos un limit 1 para que no haya problemas al mostrar los datos en pantalla o si no te dirá error y terminas con un comentario para invalidar el resto de la query.

De donde sale este dato, tu lo injectastes o que onda

Y que pasó con los primeros?