L'id lo devi prendere dal risultato della query, non devi passarlo alla query per l'esecuzione, la query va bene eseguirla specificando solo email e password, poi questa ti restituirà tutti i campi del record trovato (do per scontato che sia unico ovviamente).
Come recuperi i dati presi dalle query select che fai altrove? Allo stesso modo potrai recuperare l'id in questo caso.