↑
можно, через GRANT
думаю что при грамотном разграничении доступа к полям можно усложнить жизнь атакующим, тоесть например если ты даже найдёш sql инъекцию в скрипте news.php то не сможеш прочитать поле password т.к. в скрипте news.php незачем обращаться к полю password и доступ к нему ограничен, обращаться к данному полю например можно только из скрипта login.php и следовательно чтобы прочитать поле password нужно искать sqlinj в скрипте login.php. Но на практике лично я такого разграничения почти нигде не встречал
А вообще можете подключить tamper скрипты в sqlmap и попробовать прочитать поле с их помощью, мож там waf какой-нибудь стоит