Il modulo node postgres ha un'altra forma di query; dove il 2° parametro è un array di oggetti. Quindi nel tuo caso
var sql = 'INSERT INTO sessions(sid,user_id,session_object) VALUES ($1,$2,$3) RETURNING session_id';
var values = [id1,1,JSON.stringify(session)];
e poi prosegui con
client.query(sql,values,function(err,info) {
...
Questo ha anche l'ulteriore vantaggio di proteggersi dagli attacchi SQL injection.
