% est un caractère générique (au moins dans Oracle), donc en théorie, les deux devraient fonctionner de la même manière (en supposant que vous ajoutiez les guillemets simples manquants)
Cependant, la première serait considérée comme une meilleure pratique, car elle peut permettre à l'optimiseur de base de données de ne pas réanalyser l'instruction. Le premier devrait également vous protéger contre l'injection SQL alors que le second peut ne pas le faire.