De node postgres-module heeft een andere vorm van query; waarbij de 2e parameter een array van objecten is. Dus in jouw geval
var sql = 'INSERT INTO sessions(sid,user_id,session_object) VALUES ($1,$2,$3) RETURNING session_id';
var values = [id1,1,JSON.stringify(session)];
en volg dat dan op met
client.query(sql,values,function(err,info) {
...
Dit heeft ook het extra voordeel van bescherming tegen SQL-injectie-aanvallen.