Модулът postgres на възела има друга форма на заявка; където вторият параметър е масив от обекти. Така че във вашия случай
var sql = 'INSERT INTO sessions(sid,user_id,session_object) VALUES ($1,$2,$3) RETURNING session_id';
var values = [id1,1,JSON.stringify(session)];
и след това проследете това с
client.query(sql,values,function(err,info) {
...
Това има и допълнителната полза от защита срещу атаки чрез SQL инжектиране.