% is een jokerteken (tenminste in Oracle), dus in theorie zouden beide hetzelfde moeten werken (ervan uitgaande dat u de ontbrekende enkele aanhalingstekens toevoegt)
De eerste zou echter als een betere praktijk worden beschouwd, omdat het de database-optimizer in staat kan stellen de instructie niet opnieuw te ontleden. De eerste zou u ook moeten beschermen tegen SQL-injectie, terwijl de tweede dat niet zou kunnen zijn.