Node postgres-modulet har en anden form for forespørgsel; hvor den 2. parameter er et array af objekter. Så i dit tilfælde
var sql = 'INSERT INTO sessions(sid,user_id,session_object) VALUES ($1,$2,$3) RETURNING session_id';
var values = [id1,1,JSON.stringify(session)];
og følg det derefter op med
client.query(sql,values,function(err,info) {
...
Dette har også den ekstra fordel, at det beskytter mod SQL-injektionsangreb.