El módulo node postgres tiene otra forma de consulta; donde el segundo parámetro es una matriz de objetos. Así que en tu caso
var sql = 'INSERT INTO sessions(sid,user_id,session_object) VALUES ($1,$2,$3) RETURNING session_id';
var values = [id1,1,JSON.stringify(session)];
y luego continúa con
client.query(sql,values,function(err,info) {
...
Esto también tiene el beneficio adicional de protegerse contra ataques de inyección SQL.
