O módulo postgres do nó tem outra forma de consulta; onde o segundo parâmetro é uma matriz de objetos. Então no seu caso
var sql = 'INSERT INTO sessions(sid,user_id,session_object) VALUES ($1,$2,$3) RETURNING session_id';
var values = [id1,1,JSON.stringify(session)];
e, em seguida, siga isso com
client.query(sql,values,function(err,info) {
...
Isso também tem o benefício adicional de proteção contra ataques de injeção de SQL.