Exacto, ahi le indicas a la query que saque todos los datos
de usuarios siempre y cuando pass sea vacio O 1 sea igual a 1..
Obvio que, como siempre 1=1, va a sacar TODOS los datos... Asi es como
funciona la sql injection mas o menos