Le module node postgres a une autre forme de query; où le 2ème paramètre est un tableau d'objets. Donc dans votre cas
var sql = 'INSERT INTO sessions(sid,user_id,session_object) VALUES ($1,$2,$3) RETURNING session_id';
var values = [id1,1,JSON.stringify(session)];
puis suivez cela avec
client.query(sql,values,function(err,info) {
...
Cela a également l'avantage supplémentaire de se protéger contre les attaques par injection SQL.
