Возможно ли как-то запретить для пользователя бызы данных запретить выполнение UNION и UNION ALL ?

Запретить никак нельзя. Можно запретить только SELECT, лол.

Либо можно поставить между клиентом и сервером фаирвол который будет рвать соединение если обнаружит в tcp-потоке подозрительные данные, но это невиданный изврат.

Решать проблему скл-инъекций надо правильным кодингом. На крайнык можно поставить веб-файрвол (WAF (Web Application Firewall)).

Какова ваша цель ?

Думаю ТС путается в выражениях из-за неопытности. А если не так, то точно есть более адекватное решение, чем запретить пользователю БД запрещать UNION(ALL).