% é um caractere curinga (pelo menos no Oracle), portanto, em teoria, ambos devem funcionar da mesma forma (supondo que você adicione as aspas simples ausentes)
No entanto, a primeira seria considerada uma prática melhor, pois pode permitir que o otimizador de banco de dados não analise novamente a instrução. O primeiro também deve protegê-lo contra injeção de SQL, enquanto o segundo não.