$unwanteduser não é atribuído o valor do seu formulário após o envio
Tente isso
<?php
if(isset($_POST['submit'])) {
// Read the while file into a string $htaccess
$htaccess = file_get_contents('.htaccess');
// Stick the new IP just before the closing </files>
$unwanteduser = $_POST['gtfo'];
$new_htaccess = str_replace('allow from all', "deny from "."$unwanteduser"."\nallow from all", $htaccess);
// And write the new string back to the file
file_put_contents('.htaccess', $new_htaccess);
}
?>
INFO:Depois de enviar o formulário, parece ser uma atualização de página, então o que você atribuiu ao $unwanteduser antes de enviar o formulário será perdido
estou confuso
$result = mysql_query("SELECT * FROM wp_contactform");
$f = fopen(".htaccess", "a+");
$ip = $row['IP'];
Neste ponto, qual é o valor de
$row['IP'] ? e o que você está tentando anexar ?? 
