Das Postgres-Modul des Knotens hat eine andere Form der Abfrage; wobei der 2. Parameter ein Array von Objekten ist. Also in deinem Fall
var sql = 'INSERT INTO sessions(sid,user_id,session_object) VALUES ($1,$2,$3) RETURNING session_id';
var values = [id1,1,JSON.stringify(session)];
und folgen Sie dem dann mit
client.query(sql,values,function(err,info) {
...
Dies hat auch den zusätzlichen Vorteil, dass es vor SQL-Injection-Angriffen schützt.
