% es un carácter comodín (al menos en Oracle), por lo que, en teoría, ambos deberían funcionar igual (suponiendo que agregue las comillas simples que faltan)
Sin embargo, la primera se consideraría una mejor práctica, ya que puede permitir que el optimizador de la base de datos no vuelva a analizar la declaración. El primero también debería protegerlo contra la inyección de SQL, mientras que el segundo no.
