% er et jokertegn (i hvert fald i Oracle), så i teorien burde begge fungere ens (forudsat at du tilføjer de manglende anførselstegn)
Den første vil dog blive betragtet som en bedre praksis, da den kan gøre det muligt for databaseoptimereren ikke at genparse sætningen. Den første bør også beskytte dig mod SQL-injektion, mens den anden måske ikke.