% ist ein Platzhalterzeichen (zumindest in Oracle), also sollten beide theoretisch gleich funktionieren (vorausgesetzt, Sie fügen die fehlenden einfachen Anführungszeichen hinzu)
Ersteres würde jedoch als bessere Vorgehensweise angesehen, da es dem Datenbankoptimierer ermöglichen könnte, die Anweisung nicht erneut zu analysieren. Der erste sollte Sie auch vor SQL-Injection schützen, der zweite möglicherweise nicht.
