Si usas extract() sobre $_POST o $_GET, etc... corres muchisimo riesgo de INJECTIONS o sea que alguien te envie algo que tu no esperas y se te convierta en variable local y dependiendo en que parte de tu codigo hagas ese extract() puede ser catastrofico

PD: lo que te dice @carlos_belisario es cierto, la extension MySql esta OBSOLETA y puede sacar ventajas OO si usas PDO o mysqli