Buenas noches, espero se encuentren bien,
me pueden ayudar con una duda que tengo, por favor,
Estoy viendo algunas cosas de SQLi, he creado un formulario que envia datos a mysql a traves phpmyadmin, se supone que el codigo que he escrito es vulnerable a SQLi, pero al poner la sentencia ' or '1' = '1 no logro obtener el mensaje de acceso autorizado, nisiquiera poniendo la siguiente sentencia en la consola de phpmyadmin funciona,   

SELECT * FROM DATABASE WHERE USER='usuario' AND PASS='password' OR '1'='1' 

    no me muestra ninguna informacion, pero si realizo el siguiente cambio en el codigo, si funciona   

SELECT * FROM DATABASE WHERE USER='usuario' AND (PASS='password' OR '1'='1') 

  , Al poner la setencia de pass entre parentesis se ejecuta correctamente el comando, y me muestra el registro del usuario que llame, pero desde el formulario no tengo forma de poner los parentesis, asi que estoy atorado en ese pequeño codigo.
Agradezo su colaboracion.
Saludos.