% är ett jokertecken (åtminstone i Oracle), så i teorin borde båda fungera likadant (förutsatt att du lägger till de saknade citattecken)
Den första skulle dock betraktas som bättre praxis, eftersom den kan göra det möjligt för databasoptimeraren att inte analysera påståendet igen. Den första bör också skydda dig mot SQL-injektion medan den andra inte kanske.