No, lo que intentaba hacer era evadir el proceso de autenticación. Por ej, suponele que al loguearse el script hacé un query como:
Código:
SELECT * FROM `tabla` WHERE `pass` = '$_POST[pass]' && `user`= '$_POST[user]'
Ahora, suponiendo que no hay ningún tipo de filtro para $_POST[user], el query quedaría algo como:
Código:
SELECT * FROM `tabla` WHERE `pass` = 'elpasswordquevienedepost' && `user`= '' or 1='1'
1 siempre es igual a 1, entonces el query te va a devolver todas las filas, y suponiendo que el script chequea que haya por lo menos una fila en la que coincidan los datos, el tarado que no tiene otra cosa que hacer más que joder al resto podría entrar a tu sistema sin ningún problema.
Por eso es muy importante que filtres todo lo que llega a tus queries, usando addslashes y regexp, por ej.
Suerte
Fede