Nodpostgres-modulen har en annan form av fråga; där den andra parametern är en array av objekt. Så i ditt fall
var sql = 'INSERT INTO sessions(sid,user_id,session_object) VALUES ($1,$2,$3) RETURNING session_id';
var values = [id1,1,JSON.stringify(session)];
och följ sedan upp det med
client.query(sql,values,function(err,info) {
...
Detta har också den extra fördelen att det skyddar mot SQL-injektionsattacker.