订单指令

规则order deny,allow和order allow,deny定义了deny from和allow from指令的处理顺序。所有允许和拒绝规则都将被处理，最终的相关规则将覆盖之前的任何规则。有关确认，请参见mod_authz_host模块文档的“订购指令”部分。
请注意，所有的Allow和Deny指令都被处理，这与典型的防火墙不同，在防火墙中只使用第一个匹配项。最后一个匹配是有效的（也不同于典型的防火墙）。此外，行在配置文件中出现的顺序并不重要--所有“允许”行作为一个组处理，所有“拒绝”行作为另一个组处理，默认状态单独考虑。
例如，如果我们在允许规则之前处理拒绝规则，我们可以有效地创建允许IP地址的白名单。

order deny,allow
deny from all
allow from 127.0.0.1

相反，在下面的示例中，我们在拒绝规则之前处理允许规则，以获得被拒绝IP地址的黑名单。

order allow,deny
allow from all
deny from 127.0.0.1

继承

子目录将继承父目录的规则，除非它们声明自己的规则。如果子目录使用order指令或allow/deny指令，则不会继承父目录的规则。有关此行为的确认，请参见Bug 52406，它指的是本文档的“合并配置部分”一节。
对于没有实现任何合并逻辑的模块，例如mod_access_compat，后面部分的行为取决于后面部分是否有来自模块的任何指令。配置将被继承，直到进行更改，此时配置将被替换而不是合并。

简单测试

你也可以做这个简单的测试来确认这个行为。
将以下行放入父目录.htaccess中。

order deny,allow  
deny from all

以及子目录.htaccess中的以下任何或所有行。

order deny,allow  
deny from 0.0.0.0

您将看到子目录现在可以公开访问，即使父目录包含deny from all，子目录没有allow from指令。

总结

根据文档和实验，似乎父目录不可能以任何方式覆盖子控制器的指令。

更新

使用deny, allow指令从Apache 2开始就被弃用。4 as mentioned here。
所以现在允许所有访问的正确指令是

Require all granted

并且能够撤销对给定IP的访问

Require all granted
Require not ip 10.345.67.892