Hola,

El peligro no esta en inicializar las variables que esperas por POST, sino en las variables que no esperas. Por seguridad, toda variable local deberia ser inicializada.

DE todas formas, extract() permite que le pongas un prefijo a las variables extraidas del array, para evitar conflictos con los nombres de variables locales. Por ejemplo, si ninguna variable local va a empezar por $P_, puedes usar ese prefijo para las variables del POST. Ademas tiene la ventaja de que mirando el codigo ves el origen de la variable.

Saludos.