% è un carattere jolly (almeno in Oracle), quindi in teoria entrambi dovrebbero funzionare allo stesso modo (supponendo che tu aggiunga le virgolette singole mancanti)
Tuttavia, la prima sarebbe considerata una pratica migliore, poiché potrebbe consentire all'ottimizzatore del database di non rianalizzare l'istruzione. Il primo dovrebbe anche proteggerti dall'iniezione SQL, mentre il secondo potrebbe no.