Почему поле user-agent бывает пустым?

Во-первых, есть масса плагинов анонимизации к браузерам, которые этот заголовок скрывают, да и Chrome в режиме инкогнито, если мне не изменяет память. его не передаёт. Во-вторых, обращаться к сайту могут не только бразуеры, но и другие программы, которые могут и не устанавливать этот заголовок.

Дополню слова Сергей Горностаев.
Плагины анонимизации обычно меняют user-agent на другой.
В режима инкогнито браузеры все же передают user-agent (проверил на Chrome, Opera).
Все крупные поисковые системы указывают user-agent для своих ботов.

Так что это либо программы, либо браузеры с заблокированной отправкой user-agent посредством плагинов.
Касательно Вашего кода ничего не скажу, не знаю PHP.

User-Agent - необязательный заголовок. Его можно передавать, можно не передавать, это на усмотрение клиента.

Вопрос в другом. А зачем вам блокировать клиентов без юзер-агента? Они вам как-то мешают?

IP есть, а user-agent — нет

У меня была похожая ситуация в OpenCart2.1.
Когда отрабатывал попап Заказать звонок, то данные (без товара) записывались в Заказы.
Сначала я заметил что IP подменяется, а user-agent по прежнему не было.

Потом я нашёл причину в неявной переадресации.

Скрипт содержал "странный способ обращению к методу контролера"

$array_call = array('name' => $_POST['name'], 'phone' => $_POST['phone']);
$info_call = base64_encode(json_encode($array_call ));
file_get_contents('http://' . $_SERVER['SERVER_NAME'] . '/index.php?route=checkout/checkout/ajaxone&info=' . $info_call ;);

file_get_contents- отправляет запрос на адрес в данном случае
После срабатывало событие и запускало другой контроллер, но даже оттуда я не мог вытащить

$_SERVER
$_COOKIE
$this->request->cookie

Я переделал запись Заказа (через обращение внутри контроллеров) и всё заработало