если я пишу Deny from all то тогда и местные скрипты не могут открыть этот файл.

Этого быть не может. Что за локальный сервер вы используете?

hostinger.ru т.е. в любом случае только через .htaccess?

В любом случае, и это забота Apache.
Я не о имени домена спрашиваю, а о локальном сервере или вы отлаживаете скрипты на удаленном?

на удалённом, чтобы уж наверняка работало. спасибо за ответы.

Отладку скриптов производят на локальном сервере, и только после полной отладки и устранения ошибок выставляют на сервер.
Чтобы наверняка работало, нужно всего лишь иметь на локальном сервере версии PHP (или иного серверного языка), базы данных таких же версий что будут и на удаленном.

Значит на удаленном сервере не работает .htaccess (если конечно вы все правильно делаете), обращайтесь в техподдержку и прикройте на время выяснения вопроса доступ к сайту вообще.

помог следующий код в .htacess
<Files "*.xml">
deny from all
</Files>
может кому пригодится. все файлы .xml в папке с этим файлом .htacess стали доступны только для скриптов сайта. вместо .xml можно поставить любое расширение.

Вам это ранее показывали, только на все файлы папки *.*.

я пробовал

order deny,allow
deny from all
allow from 195.135.232.70

поэтому, тогда подумал, что вы предлагали то же самое.

Так надо о директивах .htaccess читать. А вообще, это не хорошо держать один один или файлы недоступные в папке, а не закрыть доступ к папке. Не забывайте, есть еще и robots.txt, зачем же так усложнять хранение. Уж точно есть закрытая папка на все файлы, из которой подключаются скрипты, конфигурации, разе не лучше там организовать хранение таких файлов?